È stata rilevata una nuova vulnerabilità in Microsoft Exchange Server 2013, 2016 e 2019. Questa nuova vulnerabilità si chiama Scambio Privato ed è in realtà una vulnerabilità zero-day.
Sfruttando questa falla di sicurezza, un utente malintenzionato può ottenere i privilegi di amministratore del controller di dominio utilizzando le credenziali di un utente della cassetta postale di scambio con l'aiuto del semplice strumento Python.
Questa nuova vulnerabilità è stata evidenziata da un ricercatore Dirk-Jan Mollema su il suo blog personale una settimana fa. Nel suo blog, rivela importanti informazioni sulla vulnerabilità zero-day di PrivExchange.
Scrive che questo non è un singolo difetto se comprende 3 componenti che sono combinati per intensificare l'accesso di un utente malintenzionato da qualsiasi utente con una casella di posta all'amministratore del dominio.
Questi tre difetti sono:
- I server Exchange hanno (troppo) privilegi elevati per impostazione predefinita
- L'autenticazione NTLM è vulnerabile agli attacchi di inoltro
- Exchange ha una funzione che lo rende autenticato da un utente malintenzionato con l'account del computer del server Exchange.
Secondo il ricercatore, l'intero attacco può essere eseguito utilizzando i due strumenti denominati privexchange .py e ntlmrelayx. Tuttavia, lo stesso attacco è ancora possibile se un attaccante manca delle credenziali utente necessarie.
In tali circostanze, httpattack.py modificato può essere utilizzato con ntlmrelayx per eseguire l'attacco da una prospettiva di rete senza alcuna credenziale.
Come mitigare le vulnerabilità di Microsoft Exchange Server
Nessuna patch per correggere questa vulnerabilità zero-day è stata ancora proposta da Microsoft. Tuttavia, nello stesso post sul blog, Dirk-Jan Mollema comunica alcune mitigazioni che possono essere applicate per proteggere il server dagli attacchi.
Le mitigazioni proposte sono:
- Impedire ai server di scambio di stabilire relazioni con altre postazioni di lavoro
- Eliminazione della chiave di registro
- Implementazione della firma SMB sui server Exchange
- Rimozione dei privilegi non necessari dall'oggetto del dominio di Exchange
- Abilitazione della protezione estesa per l'autenticazione sugli endpoint di Exchange in IIS, esclusi quelli di Exchange Back End perché ciò interromperebbe Exchange).
Inoltre, puoi installare uno dei queste soluzioni antivirus per Microsoft Server 2013.
Gli attacchi PrivExchange sono stati confermati sulle versioni complete di patch di Exchange e sui controller di dominio dei server Windows come Exchange 2013, 2016 e 2019.
POST CORRELATI DA VERIFICARE:
- I 5 migliori software anti-spam per il tuo server di posta Exchange
- 5 dei migliori software per la privacy della posta elettronica per il 2019
