В Microsoft Exchange Server 2013, 2016 и 2019 была обнаружена новая уязвимость. Эта новая уязвимость называется PrivExchange и фактически является уязвимостью нулевого дня.
Воспользовавшись этой дырой в безопасности, злоумышленник может получить права администратора контроллера домена, используя учетные данные пользователя почтового ящика Exchange с помощью простого инструмента Python.
Эту новую уязвимость указал исследователь Дирк-Ян Моллема на его личный блог неделю назад. В своем блоге он раскрывает важную информацию об уязвимости нулевого дня PrivExchange.
Он пишет, что это не единственный недостаток, если он состоит из 3 компонентов, которые объединены для расширения доступа злоумышленника от любого пользователя с почтовым ящиком к администратору домена.
Вот эти три недостатка:
- Серверы Exchange по умолчанию имеют (слишком) высокие привилегии
- NTLM-аутентификация уязвима для ретрансляционных атак
- В Exchange есть функция, позволяющая аутентифицировать злоумышленника с учетной записью компьютера на сервере Exchange.
По словам исследователя, вся атака может быть проведена с использованием двух инструментов с именами privexchange .py и ntlmrelayx. Однако такая же атака все еще возможна, если злоумышленник не хватает необходимых учетных данных пользователя.
В таких обстоятельствах модифицированный httpattack.py можно использовать с ntlmrelayx для выполнения атаки с точки зрения сети без каких-либо учетных данных.
Как уменьшить уязвимости Microsoft Exchange Server
Microsoft пока не предложила никаких патчей для исправления этой уязвимости нулевого дня. Однако в том же сообщении в блоге Дирк-Ян Моллема сообщает о некоторых средствах защиты, которые могут быть применены для защиты сервера от атак.
Предлагаемые меры:
- Блокировка серверов обмена от установления отношений с другими рабочими станциями
- Удаление ключа реестра
- Реализация подписи SMB на серверах Exchange
- Удаление ненужных привилегий из объекта домена Exchange
- Включение расширенной защиты для проверки подлинности на конечных точках Exchange в IIS, за исключением серверных точек Exchange, поскольку это нарушит работу Exchange).
Дополнительно вы можете установить один из эти антивирусные решения для Microsoft Server 2013.
Атаки PrivExchange были подтверждены на полностью исправленных версиях контроллеров домена серверов Exchange и Windows, таких как Exchange 2013, 2016 и 2019.
СВЯЗАННЫЕ СООБЩЕНИЯ ДЛЯ ПРОВЕРКИ:
- 5 лучших программ для защиты от спама для вашего почтового сервера Exchange
- 5 лучших программ для обеспечения конфиденциальности электронной почты на 2019 год
