MS Exchange Server-kwetsbaarheid geeft hackers beheerdersrechten

Microsoft Exchange Server-kwetsbaarheid

Er is een nieuwe kwetsbaarheid gevonden in Microsoft Exchange Server 2013, 2016 en 2019. Deze nieuwe kwetsbaarheid heet PrivExchange en is eigenlijk een zero-day kwetsbaarheid.

Door gebruik te maken van dit beveiligingslek, kan een aanvaller met behulp van een eenvoudige Python-tool beheerdersrechten voor domeincontrollers verkrijgen met behulp van de inloggegevens van een Exchange-mailboxgebruiker.

Deze nieuwe kwetsbaarheid werd benadrukt door een onderzoeker Dirk-Jan Mollema op zijn persoonlijke blog een week geleden. In zijn blog onthult hij belangrijke informatie over de zero-day-kwetsbaarheid van PrivExchange.

Hij schrijft dat dit geen enkele fout is, of het nu gaat om 3 componenten die worden gecombineerd om de toegang van een aanvaller van elke gebruiker met een mailbox naar Domain Admin te escaleren.

Deze drie gebreken zijn:

  • Exchange Servers hebben standaard (te) hoge privileges
  • NTLM-verificatie is kwetsbaar voor relay-aanvallen
  • Exchange heeft een functie waardoor het wordt geverifieerd voor een aanvaller met het computeraccount van de Exchange-server.

Volgens de onderzoeker kan de hele aanval worden uitgevoerd met behulp van de twee tools privexchange .py en ntlmrelayx. Dezelfde aanval is echter nog steeds mogelijk als een aanvaller mist de benodigde gebruikersreferenties.

In dergelijke omstandigheden kan gewijzigde httpattack.py worden gebruikt met de ntlmrelayx om de aanval uit te voeren vanuit een netwerkperspectief zonder enige referenties.

Hoe kwetsbaarheden in Microsoft Exchange Server te verkleinen

Microsoft heeft nog geen patches voorgesteld om deze zero-day kwetsbaarheid op te lossen. In dezelfde blogpost deelt Dirk-Jan Mollema echter enkele maatregelen mee die kunnen worden toegepast om de server tegen de aanvallen te beschermen.

De voorgestelde mitigaties zijn:

  • Exchange-servers blokkeren om relaties met andere werkstations tot stand te brengen
  • Het elimineren van de registersleutel
  • SMB-ondertekening implementeren op Exchange-servers
  • Onnodige privileges verwijderen uit het Exchange-domeinobject
  • Uitgebreide beveiliging inschakelen voor verificatie op de Exchange-eindpunten in IIS, met uitzondering van Exchange-backend-eindpunten omdat dit Exchange zou breken).

Bovendien kunt u een van de deze antivirusoplossingen voor Microsoft Server 2013.

De PrivExchange-aanvallen zijn bevestigd op de volledig gepatchte versies van Exchange- en Windows-servers Domain Controllers zoals Exchange 2013, 2016 en 2019.

GERELATEERDE POSTEN OM TE CONTROLEREN:

  • 5 beste anti-spamsoftware voor uw Exchange-e-mailserver
  • 5 van de beste e-mailprivacysoftware voor 2019
10+ beste antivirussoftware voor Windows 10 om vandaag te gebruiken

10+ beste antivirussoftware voor Windows 10 om vandaag te gebruikenAntivirusCyberbeveiliging

Cyberaanvallen zijn elk jaar een grote uitdaging in de IT-wereld, dus zorg ervoor dat je de beste antivirussoftware voor Windows 10 gebruikt.Wij bieden u een van de beste anti-malware-suites op de ...

Lees verder
5+ beste antivirusprogramma's voor Atom-processors

5+ beste antivirusprogramma's voor Atom-processorsIntelCyberbeveiliging

De beste antivirus voor notebooks op basis van Atom CPU zou geen hoge vraag naar bronnen moeten hebben.De tool van ESET heeft een lage impact op de processor en biedt bescherming tegen allerlei soo...

Lees verder
5+ beste antivirussoftware voor Windows 10 in India

5+ beste antivirussoftware voor Windows 10 in IndiaCyberbeveiliging

In India gingen veel internetgebruikers op zoek naar de beste antivirus voor Windows 10 in India.Een antivirus top 10 in India bevat de beste software tegen virussen, malware en hackers. De beste a...

Lees verder