Új biztonsági rést találtak a Microsoft Exchange Server 2013, 2016 és 2019 programokban. Ezt az új biztonsági rést hívják PrivExchange és valójában nulla napos sebezhetőség.
A biztonsági rést kihasználva a támadó egy egyszerű Python eszköz segítségével megszerezheti a Domain Controller rendszergazdai jogosultságait egy csere-postafiók felhasználó hitelesítő adatainak felhasználásával.
Ezt az új sebezhetőséget Dirk-Jan Mollema kutató emelte ki személyes blogja egy hete. Blogjában fontos információkat közöl a PrivExchange nulla napos sebezhetőségéről.
Azt írja, hogy ez nem egyetlen hiba, függetlenül attól, hogy 3 komponensből áll-e, amelyek együttesen fokozzák a támadók hozzáférését a postaládával rendelkező felhasználóktól a Domain rendszergazdához.
Ez a három hiba:
- Az Exchange szerverek alapértelmezés szerint (túl) magas jogosultságokkal rendelkeznek
- Az NTLM hitelesítés kiszolgáltatott a továbbítási támadásoknak
- Az Exchange rendelkezik olyan funkcióval, amely hitelesíti a támadókat az Exchange kiszolgáló számítógépfiókjával.
A kutató szerint az egész támadást a privexchange .py és az ntlmrelayx nevű két eszköz segítségével lehet végrehajtani. Ugyanakkor ugyanaz a támadás továbbra is lehetséges, ha támadó hiányzik a szükséges felhasználói hitelesítő adatok.
Ilyen körülmények között a módosított httpattack.py felhasználható az ntlmrelayx-szel a támadás hálózati szempontból történő végrehajtásához hitelesítő adatok nélkül.
Hogyan lehet enyhíteni a Microsoft Exchange Server biztonsági réseit
A nulla napos biztonsági rés elhárítására még nem tett javítást a Microsoft. Dirk-Jan Mollema azonban ugyanabban a blogbejegyzésben néhány olyan könnyítést közöl, amelyek alkalmazhatók a kiszolgáló támadások elleni védelmére.
A javasolt enyhítések a következők:
- Letiltja az Exchange kiszolgálókat abban, hogy kapcsolatokat létesítsenek más munkaállomásokkal
- A regisztrációs kulcs megszüntetése
- SMB-aláírás megvalósítása az Exchange szervereken
- Felesleges jogosultságok eltávolítása az Exchange tartomány objektumból
- Kiterjesztett védelem engedélyezése a hitelesítéshez az IIS Exchange-végpontjain, kivéve az Exchange Back End-eket, mert ezzel megszakadna az Exchange).
Ezenkívül telepítheti a következők egyikét ezek a víruskereső megoldások a Microsoft Server 2013 rendszerhez.
A PrivExchange támadásokat megerősítették az Exchange és a Windows szerverek tartományvezérlők, például az Exchange 2013, 2016 és 2019 teljesen javított verzióin.
KAPCSOLÓDÓ POSZTOK:
- 5 legjobb spamellenes szoftver az Exchange e-mail szerveréhez
- 5 legjobb 2019-es e-mail adatvédelmi szoftver
