Uusi haavoittuvuus on löydetty Microsoft Exchange Server 2013: sta, 2016: sta ja 2019: stä. Tätä uutta haavoittuvuutta kutsutaan PrivExchange ja on itse asiassa nollapäivän haavoittuvuus.
Hyödyntämällä tätä suojausreikää hyökkääjä voi hankkia Domain Controller -järjestelmänvalvojan oikeudet vaihtopostilaatikon käyttäjän tunnistetietoja käyttäen yksinkertaisen Python-työkalun avulla.
Tutkija Dirk-Jan Mollema korosti tätä uutta haavoittuvuutta hänen henkilökohtainen blogi viikko sitten. Blogissaan hän paljastaa tärkeitä tietoja PrivExchangen nollapäivän haavoittuvuudesta.
Hän kirjoittaa, että tämä ei ole yksi virhe, koostuuko se kolmesta komponentista, jotka yhdistetään hyökkääjän pääsyn lisäämiseksi keneltä tahansa postilaatikolla varustetulta käyttäjältä Verkkotunnuksen järjestelmänvalvojaan.
Nämä kolme puutetta ovat:
- Exchange-palvelimilla on oletusarvoisesti (liian) korkeat oikeudet
- NTLM-todennus on alttiina välityshyökkäyksille
- Exchangessa on ominaisuus, joka tekee siitä todennuksen hyökkääjälle Exchange-palvelimen tietokonetilillä.
Tutkijan mukaan koko hyökkäys voidaan suorittaa kahdella työkalulla nimeltä privexchange .py ja ntlmrelayx. Sama hyökkäys on kuitenkin edelleen mahdollista, jos hyökkääjä puuttuu tarvittavat käyttäjätiedot.
Tällaisissa olosuhteissa muokattua httpattack.py-tiedostoa voidaan käyttää ntlmrelayx: n kanssa hyökkäyksen suorittamiseksi verkon näkökulmasta ilman kirjautumistietoja.
Kuinka vähentää Microsoft Exchange Serverin haavoittuvuuksia
Microsoft ei ole vielä ehdottanut korjauksia tämän nollapäivän haavoittuvuuden korjaamiseksi. Dirk-Jan Mollema kertoo kuitenkin samassa blogikirjoituksessa joitain lieventimiä, joita voidaan käyttää palvelimen suojaamiseksi hyökkäyksiltä.
Ehdotetut lieventämiset ovat:
- Estetään vaihtopalvelimia luomasta suhteita muihin työasemiin
- Rekisteriavaimen poistaminen
- SMB-allekirjoituksen toteuttaminen Exchange-palvelimilla
- Tarpeettomien oikeuksien poistaminen Exchange-toimialueobjektista
- Laajennetun suojauksen ottaminen käyttöön todennuksessa IIS: n Exchange-päätepisteissä, lukuun ottamatta Exchange Back End -sovelluksia, koska se hajottaisi Exchange: n).
Lisäksi voit asentaa yhden nämä Microsoft Server 2013: n virustentorjuntaratkaisut.
PrivExchange-hyökkäykset on vahvistettu Exchange- ja Windows-palvelinten toimialueohjainten, kuten Exchange 2013, 2016 ja 2019, täysin korjatuissa versioissa.
LIITTYVÄT TARKISTAJAT:
- 5 parasta roskapostin torjuntaohjelmaa Exchange-sähköpostipalvelimellesi
- 5 parasta sähköpostin tietosuojaohjelmistoa vuodelle 2019
