Uma nova vulnerabilidade foi encontrada no Microsoft Exchange Server 2013, 2016 e 2019. Esta nova vulnerabilidade é chamada PrivExchange e é, na verdade, uma vulnerabilidade de dia zero.
Explorando essa falha de segurança, um invasor pode obter privilégios de administrador do Controlador de Domínio usando as credenciais de um usuário de caixa de correio de troca com a ajuda de uma ferramenta Python simples.
Esta nova vulnerabilidade foi destacada pelo pesquisador Dirk-Jan Mollema em seu blog pessoal uma semana atrás. Em seu blog, ele divulga informações importantes sobre a vulnerabilidade de dia zero do PrivExchange.
Ele escreve que esta não é uma única falha, seja composta por 3 componentes que são combinados para escalar o acesso de um invasor de qualquer usuário com uma caixa de correio para Admin de Domínio.
Essas três falhas são:
- Os servidores Exchange têm (também) altos privilégios por padrão
- A autenticação NTLM é vulnerável a ataques de retransmissão
- O Exchange possui um recurso que o torna autenticado para um invasor com a conta de computador do servidor Exchange.
Segundo o pesquisador, todo o ataque pode ser realizado com as duas ferramentas chamadas privexchange .py e ntlmrelayx. No entanto, o mesmo ataque ainda é possível se um invasor não possui credenciais de usuário necessárias.
Nessas circunstâncias, o httpattack.py modificado pode ser utilizado com o ntlmrelayx para executar o ataque de uma perspectiva de rede sem nenhuma credencial.
Como mitigar vulnerabilidades do Microsoft Exchange Server
Nenhum patch para corrigir esta vulnerabilidade de dia zero foi proposto pela Microsoft ainda. No entanto, na mesma postagem do blog, Dirk-Jan Mollema comunica algumas atenuações que podem ser aplicadas para proteger o servidor contra ataques.
As mitigações propostas são:
- Impedindo que os servidores de troca estabeleçam relações com outras estações de trabalho
- Eliminando a chave de registro
- Implementando assinatura SMB em servidores Exchange
- Remover privilégios desnecessários do objeto de domínio do Exchange
- Habilitando a Proteção Estendida para Autenticação nos pontos de extremidade do Exchange no IIS, exceto os back-end do Exchange, porque isso interromperia o Exchange.
Além disso, você pode instalar um dos essas soluções antivírus para Microsoft Server 2013.
Os ataques PrivExchange foram confirmados nas versões totalmente corrigidas dos controladores de domínio dos servidores Exchange e Windows, como o Exchange 2013, 2016 e 2019.
POSTS RELACIONADOS PARA VERIFICAR:
- 5 melhores softwares anti-spam para o seu servidor de e-mail Exchange
- 5 dos melhores softwares de privacidade de e-mail para 2019
