En ny sårbarhet er funnet i Microsoft Exchange Server 2013, 2016 og 2019. Denne nye sårbarheten kalles PrivExchange og er faktisk en null-dagers sårbarhet.
Ved å utnytte dette sikkerhetshullet kan en angriper oppnå administratorrettigheter for Domain Controller ved hjelp av legitimasjonen til en bruker av utvekslingspostkassen ved hjelp av et enkelt Python-verktøy.
Denne nye sårbarheten ble fremhevet av en forsker Dirk-Jan Mollema på hans personlige blogg en uke siden. I bloggen avslører han viktig informasjon om PrivExchange null-dagers sårbarhet.
Han skriver at dette ikke er en eneste feil, enten det består av 3 komponenter som kombineres for å eskalere tilgangen til en angriper fra enhver bruker med en postkasse til Domain Admin.
Disse tre feilene er:
- Exchange-servere har (for) høye privilegier som standard
- NTLM-autentisering er sårbar for reléangrep
- Exchange har en funksjon som gjør at den godkjennes for en angriper med datamaskinkontoen til Exchange-serveren.
Ifølge forskeren kan hele angrepet utføres ved hjelp av de to verktøyene som heter privexchange .py og ntlmrelayx. Imidlertid er det samme angrepet fortsatt mulig hvis en angriper
mangler nødvendig brukerlegitimasjon.Under slike omstendigheter kan modifisert httpattack.py brukes med ntlmrelayx for å utføre angrepet fra et nettverksperspektiv uten legitimasjon.
Hvordan redusere Microsoft Exchange Server-sårbarheter
Ingen oppdateringer for å fikse dette null-dagers sårbarheten har blitt foreslått av Microsoft ennå. Imidlertid kommuniserer Dirk-Jan Mollema i det samme blogginnlegget noen avbøtelser som kan brukes for å beskytte serveren mot angrepene.
De foreslåtte avbøtingene er:
- Blokkerer utvekslingsservere fra å etablere relasjoner med andre arbeidsstasjoner
- Eliminering av registernøkkelen
- Implementering av SMB-signering på Exchange-servere
- Fjerner unødvendige privilegier fra Exchange-domeneobjektet
- Aktivering av utvidet beskyttelse for autentisering på Exchange-endepunktene i IIS, unntatt Exchange Back End-ene fordi dette ville ødelegge Exchange).
I tillegg kan du installere en av disse antivirusløsningene for Microsoft Server 2013.
PrivExchange-angrepene er bekreftet på fullstendig oppdaterte versjoner av Exchange- og Windows-servere Domain Controllers som Exchange 2013, 2016 og 2019.
RELATERTE POSTER FOR Å KONTROLLERE:
- 5 beste anti-spam programvare for Exchange e-postserveren
- 5 av de beste personvernprogramvarene for e-post for 2019
