MS Exchange Server ievainojamība dod hakeriem administratora privilēģijas

Microsoft Exchange Server 2013, 2016 un 2019 ir atrasta jauna ievainojamība. Šī jaunā ievainojamība tiek saukta PrivExchange un faktiski tā ir nulles dienas ievainojamība.

Izmantojot šo drošības caurumu, uzbrucējs var iegūt domēna kontrollera administratora privilēģijas, izmantojot apmaiņas pastkastes lietotāja akreditācijas datus, izmantojot vienkāršu Python rīku.

Šo jauno ievainojamību uzsvēra pētnieks Dirks-Jans Mollema viņa personīgais emuārs pirms nedēļas. Savā emuārā viņš atklāj svarīgu informāciju par PrivExchange nulles dienu neaizsargātību.

Viņš raksta, ka tas nav viens trūkums, neatkarīgi no tā, vai tas sastāv no 3 komponentiem, kuri tiek apvienoti, lai palielinātu jebkura lietotāja ar pastkasti uzbrucēja piekļuvi domēna administrētājam.

Šie trīs trūkumi ir:

• Pēc noklusējuma Exchange serveriem ir (pārāk) augstas privilēģijas
• NTLM autentifikācija ir neaizsargāta pret releju uzbrukumiem
• Exchange ir funkcija, kas padara to autentificētu uzbrucēju ar Exchange servera datora kontu.

Pēc pētnieka domām, visu uzbrukumu var veikt, izmantojot divus rīkus ar nosaukumu privexchange .py un ntlmrelayx. Tomēr tas pats uzbrukums joprojām ir iespējams, ja uzbrucējs

trūkst nepieciešamo lietotāju akreditācijas datu.

Šādos apstākļos modificēto httpattack.py var izmantot ar ntlmrelayx, lai veiktu uzbrukumu no tīkla perspektīvas bez jebkādiem akreditācijas datiem.

Kā mazināt Microsoft Exchange Server ievainojamību

Pagaidām Microsoft nav ierosinājis plāksterus šīs nulles dienas ievainojamības novēršanai. Tomēr tajā pašā emuāra ziņā Dirks-Jans Mollema paziņo par dažiem atvieglojumiem, kurus var izmantot, lai aizsargātu serveri no uzbrukumiem.

Ierosinātie atvieglojumi ir:

• Bloķēt apmaiņas serverus no attiecību nodibināšanas ar citām darbstacijām
• Reģistra atslēgas noņemšana
• SMB parakstīšanas ieviešana Exchange serveros
• Nevajadzīgu privilēģiju noņemšana no Exchange domēna objekta
• Paplašinātas autentifikācijas aizsardzības iespējošana IIS Exchange galapunktos, izņemot Exchange Back End, jo tas izjauktu Exchange darbību).

Turklāt jūs varat instalēt vienu no šie pretvīrusu risinājumi Microsoft Server 2013.

PrivExchange uzbrukumi ir apstiprināti pilnībā izlabotajās Exchange un Windows serveru domēnu kontrolleru versijās, piemēram, Exchange 2013, 2016 un 2019.

SAISTĪTĀS PĀRBAUDES POSTI:

• 5 labākā anti-spam programmatūra jūsu Exchange e-pasta serverim
• 5 no labākajām e-pasta konfidencialitātes programmatūrām 2019. gadam