O nouă vulnerabilitate a fost găsită în Microsoft Exchange Server 2013, 2016 și 2019. Această nouă vulnerabilitate este numită PrivExchange și este de fapt o vulnerabilitate de zero zile.
Exploatând această gaură de securitate, un atacator poate obține privilegii de administrator de controler de domeniu folosind acreditările unui utilizator de cutie poștală de schimb cu ajutorul instrumentului simplu Python.
Această nouă vulnerabilitate a fost evidențiată de un cercetător Dirk-Jan Mollema blogul său personal acum o saptamana. În blogul său, el dezvăluie informații importante despre vulnerabilitatea privExchange zero-day.
El scrie că acesta nu este un singur defect, fie că este format din 3 componente care sunt combinate pentru a escalada accesul unui atacator de la orice utilizator cu o căsuță poștală la Domain Admin.
Aceste trei defecte sunt:
- Serverele Exchange au privilegii (prea) ridicate în mod implicit
- Autentificarea NTLM este vulnerabilă la atacurile de releu
- Exchange are o caracteristică care îl face să se autentifice la un atacator cu contul de computer al serverului Exchange.
Potrivit cercetătorului, întregul atac poate fi efectuat folosind cele două instrumente numite privexchange .py și ntlmrelayx. Cu toate acestea, același atac este încă posibil dacă un atacator nu are acreditările de utilizator necesare.
În astfel de circumstanțe, httpattack.py modificat poate fi utilizat cu ntlmrelayx pentru a efectua atacul din perspectiva rețelei, fără nicio acreditare.
Cum să atenuați vulnerabilitățile Microsoft Exchange Server
Microsoft nu a propus încă patch-uri pentru a remedia această vulnerabilitate de zero zile. Cu toate acestea, în aceeași postare de blog, Dirk-Jan Mollema comunică unele atenuări care pot fi aplicate pentru a proteja serverul de atacuri.
Atenuările propuse sunt:
- Blocarea serverelor de schimb de la stabilirea relațiilor cu alte stații de lucru
- Eliminarea cheii de înregistrare
- Implementarea semnării SMB pe serverele Exchange
- Eliminarea privilegiilor inutile din obiectul domeniului Exchange
- Activarea Protecției extinse pentru autentificare pe punctele finale Exchange în IIS, excluzând cele Back End Exchange, deoarece aceasta ar rupe Exchange).
În plus, puteți instala unul dintre aceste soluții antivirus pentru Microsoft Server 2013.
Atacurile PrivExchange au fost confirmate pe versiunile complet patch-uri ale serverelor Exchange și Windows Controllers de domeniu precum Exchange 2013, 2016 și 2019.
POSTURI LEGATE DE VERIFICAT:
- Cele mai bune 5 programe anti-spam pentru serverul dvs. de e-mail Exchange
- 5 dintre cele mai bune programe de confidențialitate a e-mailurilor pentru 2019
