Une nouvelle vulnérabilité a été découverte dans Microsoft Exchange Server 2013, 2016 et 2019. Cette nouvelle vulnérabilité est appelée Échange Privé et est en fait une vulnérabilité zero-day.
En exploitant cette faille de sécurité, un attaquant peut obtenir les privilèges d'administrateur du contrôleur de domaine en utilisant les informations d'identification d'un utilisateur de boîte aux lettres Exchange à l'aide d'un simple outil Python.
Cette nouvelle vulnérabilité a été mise en évidence par un chercheur Dirk-Jan Mollema sur son blog perso il y a une semaine. Dans son blog, il divulgue des informations importantes sur la vulnérabilité zero-day de PrivExchange.
Il écrit qu'il ne s'agit pas d'un seul défaut, qu'il s'agisse de 3 composants combinés pour escalader l'accès d'un attaquant de tout utilisateur disposant d'une boîte aux lettres à l'administrateur du domaine.
Ces trois défauts sont :
- Les serveurs Exchange ont des privilèges (trop) élevés par défaut
- L'authentification NTLM est vulnérable aux attaques par relais
- Exchange possède une fonctionnalité qui permet de s'authentifier auprès d'un attaquant avec le compte d'ordinateur du serveur Exchange.
Selon le chercheur, toute l'attaque peut être effectuée à l'aide des deux outils nommés privexchange .py et ntlmrelayx. Cependant, la même attaque est toujours possible si un attaquant n'a pas les informations d'identification d'utilisateur nécessaires.
Dans de telles circonstances, httpattack.py modifié peut être utilisé avec le ntlmrelayx pour effectuer l'attaque du point de vue du réseau sans aucune information d'identification.
Comment atténuer les vulnérabilités de Microsoft Exchange Server
Aucun correctif pour corriger cette vulnérabilité zero-day n'a encore été proposé par Microsoft. Cependant, dans le même article de blog, Dirk-Jan Mollema communique certaines mesures d'atténuation qui peuvent être appliquées pour protéger le serveur des attaques.
Les mesures d'atténuation proposées sont :
- Empêcher les serveurs d'échange d'établir des relations avec d'autres postes de travail
- Élimination de la clé de registre
- Implémentation de la signature SMB sur les serveurs Exchange
- Suppression des privilèges inutiles de l'objet domaine Exchange
- Activation de la protection étendue pour l'authentification sur les points de terminaison Exchange dans IIS, à l'exclusion de ceux d'arrière-plan Exchange, car cela endommagerait Exchange).
De plus, vous pouvez installer l'un des ces solutions antivirus pour Microsoft Server 2013.
Les attaques PrivExchange ont été confirmées sur les versions entièrement corrigées des contrôleurs de domaine des serveurs Exchange et Windows comme Exchange 2013, 2016 et 2019.
POSTES CONNEXES À VÉRIFIER :
- 5 meilleurs logiciels anti-spam pour votre serveur de messagerie Exchange
- 5 des meilleurs logiciels de confidentialité des e-mails pour 2019
