„Microsoft Exchange Server 2013“, 2016 ir 2019 rastas naujas pažeidžiamumas. Šis naujas pažeidžiamumas vadinamas „PrivExchange“ ir iš tikrųjų yra nulinės dienos pažeidžiamumas.
Išnaudodamas šią saugumo spragą, užpuolikas gali gauti domeno valdiklio administratoriaus teises naudodamasis mainų pašto dėžutės vartotojo kredencialais, naudodamas paprastą „Python“ įrankį.
Šį naują pažeidžiamumą pabrėžė tyrėjas Dirkas-Janas Mollema jo asmeninis tinklaraštis Prieš savaitę. Savo tinklaraštyje jis atskleidžia svarbią informaciją apie „PrivExchange“ nulinės dienos pažeidžiamumą.
Jis rašo, kad tai nėra vienas trūkumas, nes jis susideda iš 3 komponentų, kurie yra kombinuoti tam, kad padidintų bet kurio pašto dėžutę turinčio vartotojo užpuoliko prieigą prie domeno administratoriaus.
Šie trys trūkumai yra šie:
- Pagal numatytuosius nustatymus „Exchange“ serveriai turi (per) dideles privilegijas
- NTLM autentifikavimas yra pažeidžiamas persiuntimo atakų
- „Exchange“ turi funkciją, leidžiančią ją atpažinti užpuolikui naudojant „Exchange“ serverio kompiuterio paskyrą.
Pasak tyrėjos, visą ataką galima atlikti naudojant du įrankius, vadinamus „privexchange .py“ ir „ntlmrelayx“. Tačiau ta pati ataka vis tiek įmanoma, jei užpuolikas trūksta būtinų vartotojo duomenų.
Tokiomis aplinkybėmis modifikuotą httpattack.py galima naudoti su ntlmrelayx, kad įvykdytų ataką iš tinklo perspektyvos be jokių įgaliojimų.
Kaip sušvelninti „Microsoft Exchange Server“ pažeidžiamumus
„Microsoft“ kol kas nepasiūlė jokių pataisų šiai nulinės dienos pažeidžiamumui pašalinti. Tačiau tame pačiame tinklaraščio įraše Dirkas-Janas Mollema praneša apie kai kuriuos sušvelninimus, kurie gali būti taikomi apsaugant serverį nuo atakų.
Siūlomi švelninimo būdai:
- Blokuoti mainų serverius užmegzti ryšius su kitomis darbo stotimis
- Registro rakto panaikinimas
- SMB pasirašymo diegimas „Exchange“ serveriuose
- Nereikalingų privilegijų pašalinimas iš „Exchange“ domeno objekto
- Išplėstinės autentifikavimo apsaugos įgalinimas IIS „Exchange“ taškuose, išskyrus „Exchange Back End“, nes tai sugadintų „Exchange“.
Be to, galite įdiegti vieną iš šie antivirusiniai sprendimai, skirti „Microsoft Server 2013“.
„PrivExchange“ atakos buvo patvirtintos visiškai pataisytose „Exchange“ ir „Windows“ serverių domenų valdiklių versijose, tokiose kaip „Exchange 2013“, „2016“ ir „2019“.
SUSIJED PATIKRINIMAI:
- 5 geriausia „anti-spam“ programinė įranga jūsų „Exchange“ el. Pašto serveriui
- 5 geriausios el. Pašto privatumo programinės įrangos 2019 m
