Microsoft Exchange Server 2013, 2016 및 2019에서 새로운 취약점이 발견되었습니다. 이 새로운 취약점을 PrivExchange 실제로 제로 데이 취약점입니다.
이 보안 허점을 악용하여 공격자는 간단한 Python 도구를 사용하여 Exchange 사서함 사용자의 자격 증명을 사용하여 도메인 컨트롤러 관리자 권한을 얻을 수 있습니다.
이 새로운 취약점은 연구원 Dirk-Jan Mollema에 의해 다음과 같이 강조되었습니다. 그의 개인 블로그 일주일 전. 그의 블로그에서 그는 PrivExchange 제로 데이 취약점에 대한 중요한 정보를 공개합니다.
그는 사서함이있는 모든 사용자에서 Domain Admin으로 공격자의 액세스를 에스컬레이션하기 위해 결합 된 3 개의 구성 요소로 구성되어 있는지 여부는 이것이 단일 결함이 아니라고 썼습니다.
이 세 가지 결함은 다음과 같습니다.
- Exchange Server에는 기본적으로 (너무) 높은 권한이 있습니다.
- NTLM 인증은 릴레이 공격에 취약합니다.
- Exchange에는 Exchange 서버의 컴퓨터 계정으로 공격자에게 인증하는 기능이 있습니다.
연구원에 따르면 전체 공격은 privexchange .py 및 ntlmrelayx라는 두 도구를 사용하여 수행 할 수 있습니다. 그러나 공격자가 다음과 같은 경우에도 동일한 공격이 가능합니다. 필요한 사용자 자격 증명이 없음.
이러한 상황에서 수정 된 httpattack.py를 ntlmrelayx와 함께 활용하여 자격 증명없이 네트워크 관점에서 공격을 수행 할 수 있습니다.
Microsoft Exchange Server 취약성을 완화하는 방법
이 제로 데이 취약점을 수정하는 패치는 아직 Microsoft에서 제안하지 않았습니다. 그러나 동일한 블로그 게시물에서 Dirk-Jan Mollema는 공격으로부터 서버를 보호하기 위해 적용될 수있는 몇 가지 완화 방법을 전달합니다.
제안 된 완화 방법은 다음과 같습니다.
- Exchange 서버가 다른 워크 스테이션과의 관계를 설정하지 못하도록 차단
- 레지스터 키 제거
- Exchange 서버에서 SMB 서명 구현
- Exchange 도메인 개체에서 불필요한 권한 제거
- IIS의 Exchange 끝점에서 인증에 대한 확장 된 보호를 사용하도록 설정합니다 (Exchange를 중단 할 수 있으므로 Exchange 백 엔드 제외).
또한 다음 중 하나를 설치할 수 있습니다. Microsoft Server 2013 용 바이러스 백신 솔루션.
PrivExchange 공격은 Exchange 2013, 2016 및 2019와 같은 완전히 패치 된 버전의 Exchange 및 Windows 서버 도메인 컨트롤러에서 확인되었습니다.
체크 아웃 할 관련 게시물 :
- Exchange 이메일 서버를위한 5 가지 최고의 스팸 방지 소프트웨어
- 2019 년 최고의 이메일 개인 정보 보호 소프트웨어 5 가지
