Nová zraniteľnosť bola nájdená v serveroch Microsoft Exchange Server 2013, 2016 a 2019. Táto nová zraniteľnosť sa nazýva PrivExchange a je to vlastne zraniteľnosť v nultý deň.
Útočník, ktorý využije túto bezpečnostnú dieru, môže získať oprávnenia správcu radiča domény pomocou prihlasovacích údajov používateľa poštovej schránky na výmene pomocou jednoduchého nástroja v jazyku Python.
Na túto novú zraniteľnosť upozornil výskumný pracovník Dirk-Jan Mollema jeho osobný blog pred týždňom. Vo svojom blogu zverejňuje dôležité informácie o zraniteľnosti nulového dňa v službe PrivExchange.
Píše, že nejde o jedinú chybu, či už pozostáva z 3 komponentov, ktoré sú kombinované na eskaláciu prístupu útočníka od ľubovoľného používateľa s poštovou schránkou k Domain Admin.
Tieto tri chyby sú:
- Servery Exchange majú predvolene (príliš) vysoké oprávnenia
- Overovanie NTLM je citlivé na prenosové útoky
- Exchange má funkciu, vďaka ktorej sa autentifikuje útočníkovi pomocou počítačového účtu servera Exchange.
Podľa výskumníka môže byť celý útok vykonaný pomocou dvoch nástrojov s názvom privexchange .py a ntlmrelayx. Rovnaký útok je však stále možný, ak ide o útočníka
chýbajú potrebné prihlasovacie údaje používateľa.Za takýchto okolností môže byť upravený httpattack.py použitý s ntlmrelayx na vykonanie útoku zo sieťovej perspektívy bez akýchkoľvek poverení.
Ako zmierniť chyby zabezpečenia servera Microsoft Exchange Server
Spoločnosť Microsoft zatiaľ nenavrhuje žiadne opravy na odstránenie tejto chyby zabezpečení. V rovnakom blogovom príspevku však Dirk-Jan Mollema informuje o niektorých zmierňovacích opatreniach, ktoré je možné použiť na ochranu servera pred útokmi.
Navrhované zmiernenia sú:
- Blokovanie výmenných serverov v nadväzovaní vzťahov s inými pracovnými stanicami
- Eliminácia kľúča registra
- Implementácia podpisovania SMB na serveroch Exchange
- Odstránenie nepotrebných privilégií z objektu domény Exchange
- Povolenie rozšírenej ochrany pre autentifikáciu na koncových bodoch servera Exchange v službe IIS, s výnimkou koncových serverov Exchange, pretože by to narušilo server Exchange).
Ďalej si môžete nainštalovať jednu z tieto antivírusové riešenia pre Microsoft Server 2013.
Útoky PrivExchange boli potvrdené na plne opravených verziách radičov domény a serverov Windows ako Exchange 2013, 2016 a 2019.
SÚVISIACE PRÍSPEVKY NA SKONTROLOVANIE:
- 5 najlepších antispamových softvérov pre váš e-mailový server Exchange
- 5 z najlepších softvérov na ochranu súkromia e-mailov pre rok 2019
