Ranjivost MS Exchange Server daje hakerima administratorske privilegije

Nova ranjivost pronađena je u sustavu Microsoft Exchange Server 2013, 2016 i 2019. Ova nova ranjivost se naziva PrivExchange i zapravo je ranjivost nula dana.

Iskorištavajući ovu sigurnosnu rupu, napadač može dobiti administratorske privilegije Upravitelja domene koristeći vjerodajnice korisnika poštanskog sandučića razmjene uz pomoć jednostavnog alata Python.

Ovu novu ranjivost istaknuo je istraživač Dirk-Jan Mollema njegov osobni blog Prije tjedan dana. U svom blogu otkriva važne informacije o PrivExchange ranjivosti nultog dana.

Napisao je da ovo nije niti jedan nedostatak koji se sastoji od 3 komponente koje se kombiniraju kako bi se eskalirao pristup napadača s bilo kojeg korisnika s poštanskim sandučićem Administratoru domene.

Te su tri nedostatke:

• Exchange poslužitelji prema zadanim postavkama imaju (pre) visoke privilegije
• NTLM provjera autentičnosti ranjiva je na relejne napade
• Exchange ima značajku koja omogućuje autentifikaciju napadaču s računalskim računom Exchange poslužitelja.

Prema istraživaču, cijeli napad može se izvesti pomoću dva alata nazvana privexchange .py i ntlmrelayx. Međutim, isti napad je i dalje moguć ako je napadač

nema potrebne korisničke vjerodajnice.

U takvim se okolnostima modificirani httpattack.py može koristiti s ntlmrelayxom za izvođenje napada iz mrežne perspektive bez ikakvih vjerodajnica.

Kako ublažiti ranjivosti sustava Microsoft Exchange Server

Microsoft još nije predložio zakrpe za otklanjanje ove ranjivosti nultih dana. Međutim, u istom blogu Dirk-Jan Mollema priopćava neke mjere ublažavanja koje se mogu primijeniti za zaštitu poslužitelja od napada.

Predložena ublažavanja su:

• Blokiranje poslužitelja za razmjenu u uspostavljanju odnosa s drugim radnim stanicama
• Uklanjanje ključa registra
• Implementacija potpisivanja SMB-a na Exchange poslužiteljima
• Uklanjanje nepotrebnih privilegija iz objekta domene Exchange
• Omogućavanje proširene zaštite za provjeru autentičnosti na Exchangeovim krajnjim točkama u IIS-u, isključujući Exchange Back End one jer bi to razbilo Exchange).

Uz to možete instalirati jedan od ova antivirusna rješenja za Microsoft Server 2013.

Napadi PrivExchange potvrđeni su na potpuno zakrpanim verzijama Exchange i Windows poslužitelja Domena kontrolora poput Exchange 2013, 2016 i 2019.

POVEZANE OBJAVE ZA PROVJERU:

• 5 najboljih softvera za zaštitu od neželjene pošte za vaš Exchange poslužitelj e-pošte
• 5 najboljih softvera za privatnost e-pošte za 2019