פגיעות חדשה נמצאה ב- Microsoft Exchange Server 2013, 2016 ו- 2019. נקראת לפגיעות חדשה זו PrivExchange והיא למעשה פגיעות של אפס יום.
ניצול חור אבטחה זה, תוקף יכול לקבל הרשאות ניהול של בקר הדומיין באמצעות אישורי משתמש בתיבת דואר להחלפה בעזרת כלי פייתון פשוט.
פגיעות חדשה זו הודגשה על ידי החוקר דירק-יאן מולמה הבלוג האישי שלו לפני שבוע. בבלוג שלו הוא חושף מידע חשוב אודות הפגיעות של PrivExchange באפס יום.
הוא כותב כי לא מדובר בפגם אחד, אם מורכב משלושה רכיבים המשולבים כדי להסלים את הגישה של התוקף מכל משתמש שיש לו תיבת דואר למנהל הדומיין.
שלושת הפגמים הללו הם:
- לשרתי Exchange יש הרשאות גבוהות מדי (מדי) כברירת מחדל
- אימות NTLM פגיע להתקפות ממסר
- ל- Exchange יש תכונה שהופכת אותו לאימות בפני תוקף באמצעות חשבון המחשב של שרת Exchange.
לדברי החוקר, ניתן לבצע את כל ההתקפה באמצעות שני הכלים בשם privexchange .py ו- ntlmrelayx. עם זאת, אותה התקפה עדיין אפשרית אם תוקף חסר אישורי משתמש נדרשים.
בנסיבות כאלה, ניתן להשתמש ב- httpattack.py שונה עם ה- ntlmrelayx לביצוע ההתקפה מנקודת מבט רשת ללא כל אישורים.
כיצד למתן את הפגיעות של Microsoft Exchange Server
טרם הוצעו על ידי מיקרוסופט תיקונים לתיקון הפגיעות האפסית הזו. עם זאת, באותו פוסט בבלוג, דירק-יאן מולמה מתקשר עם כמה מקלות שניתן ליישם כדי להגן על השרת מפני ההתקפות.
ההקלות המוצעות הן:
- חסימת שרתי חילופי קשר עם תחנות עבודה אחרות
- ביטול מפתח הרישום
- יישום חתימת SMB בשרתי Exchange
- הסרת הרשאות מיותרות מאובייקט התחום Exchange
- הפעלת הגנה מורחבת לאימות בנקודות הקצה של Exchange ב- IIS, למעט אלה של Exchange Back End מכיוון שהדבר ישבור את Exchange).
בנוסף, באפשרותך להתקין אחד מ- פתרונות אנטי-וירוס אלה עבור Microsoft Server 2013.
התקפות PrivExchange אושרו על הגרסאות המתוקנות במלואן של בקרי תחום של שרתי Exchange ו- Windows כמו Exchange 2013, 2016 ו- 2019.
פוסטים קשורים לבדיקה:
- 5 התוכנות הטובות ביותר נגד ספאם עבור שרת הדוא"ל שלך ב- Exchange
- 5 מתוכנות הפרטיות הטובות ביותר בדוא"ל לשנת 2019
