Er is een nieuwe kwetsbaarheid gevonden in Microsoft Exchange Server 2013, 2016 en 2019. Deze nieuwe kwetsbaarheid heet PrivExchange en is eigenlijk een zero-day kwetsbaarheid.
Door gebruik te maken van dit beveiligingslek, kan een aanvaller met behulp van een eenvoudige Python-tool beheerdersrechten voor domeincontrollers verkrijgen met behulp van de inloggegevens van een Exchange-mailboxgebruiker.
Deze nieuwe kwetsbaarheid werd benadrukt door een onderzoeker Dirk-Jan Mollema op zijn persoonlijke blog een week geleden. In zijn blog onthult hij belangrijke informatie over de zero-day-kwetsbaarheid van PrivExchange.
Hij schrijft dat dit geen enkele fout is, of het nu gaat om 3 componenten die worden gecombineerd om de toegang van een aanvaller van elke gebruiker met een mailbox naar Domain Admin te escaleren.
Deze drie gebreken zijn:
- Exchange Servers hebben standaard (te) hoge privileges
- NTLM-verificatie is kwetsbaar voor relay-aanvallen
- Exchange heeft een functie waardoor het wordt geverifieerd voor een aanvaller met het computeraccount van de Exchange-server.
Volgens de onderzoeker kan de hele aanval worden uitgevoerd met behulp van de twee tools privexchange .py en ntlmrelayx. Dezelfde aanval is echter nog steeds mogelijk als een aanvaller mist de benodigde gebruikersreferenties.
In dergelijke omstandigheden kan gewijzigde httpattack.py worden gebruikt met de ntlmrelayx om de aanval uit te voeren vanuit een netwerkperspectief zonder enige referenties.
Hoe kwetsbaarheden in Microsoft Exchange Server te verkleinen
Microsoft heeft nog geen patches voorgesteld om deze zero-day kwetsbaarheid op te lossen. In dezelfde blogpost deelt Dirk-Jan Mollema echter enkele maatregelen mee die kunnen worden toegepast om de server tegen de aanvallen te beschermen.
De voorgestelde mitigaties zijn:
- Exchange-servers blokkeren om relaties met andere werkstations tot stand te brengen
- Het elimineren van de registersleutel
- SMB-ondertekening implementeren op Exchange-servers
- Onnodige privileges verwijderen uit het Exchange-domeinobject
- Uitgebreide beveiliging inschakelen voor verificatie op de Exchange-eindpunten in IIS, met uitzondering van Exchange-backend-eindpunten omdat dit Exchange zou breken).
Bovendien kunt u een van de deze antivirusoplossingen voor Microsoft Server 2013.
De PrivExchange-aanvallen zijn bevestigd op de volledig gepatchte versies van Exchange- en Windows-servers Domain Controllers zoals Exchange 2013, 2016 en 2019.
GERELATEERDE POSTEN OM TE CONTROLEREN:
- 5 beste anti-spamsoftware voor uw Exchange-e-mailserver
- 5 van de beste e-mailprivacysoftware voor 2019
