Нова рањивост је пронађена у Мицрософт Екцханге Сервер 2013, 2016 и 2019. Ова нова рањивост се зове ПривЕкцханге и заправо је рањивост нула дана.
Искоришћавајући ову безбедносну рупу, нападач може да стекне администраторске привилегије Домаин Цонтроллер-а користећи акредитиве корисника размене поштанског сандучета уз помоћ једноставног Питхон алата.
Ову нову рањивост истакао је истраживач Дирк-Јан Моллема његов лични блог пре недељу дана. У свом блогу открива важне информације о ПривЕкцханге рањивости нултог дана.
Написао је да ово није нити један недостатак који се састоји од 3 компоненте које се комбинују како би се ескалирао приступ нападача са било ког корисника који има поштанско сандуче на Администратор домене.
Ове три мане су:
- Екцханге сервери подразумевано имају (пре) високе привилегије
- НТЛМ аутентификација је рањива на релејне нападе
- Екцханге има функцију која омогућава аутентификацију нападачу помоћу рачунарског налога Екцханге сервера.
Према истраживачу, цео напад се може извести помоћу два алата названа привекцханге .пи и нтлмрелаик. Међутим, исти напад је и даље могућ ако нападач
нема потребне корисничке акредитиве.У таквим околностима, модификовани хттпаттацк.пи може се користити са нтлмрелаик за извођење напада из мрежне перспективе без икаквих акредитива.
Како ублажити рањивости Мицрософт Екцханге сервера
Мицрософт још увек није предложио закрпе за решавање ове рањивости нултог дана. Међутим, у истој објави на блогу Дирк-Јан Моллема износи нека ублажавања која се могу применити да би се сервер заштитио од напада.
Предложена ублажавања су:
- Блокирање сервера за размену у успостављању односа са другим радним станицама
- Уклањање регистра кључа
- Имплементација СМБ потписивања на Екцханге серверима
- Уклањање непотребних привилегија из објекта домена Екцханге
- Омогућавање проширене заштите за аутентификацију на Екцханге крајњим тачкама у ИИС-у, изузимајући Екцханге Бацк Енд оне јер би то разбило Екцханге).
Поред тога, можете инсталирати један од ова антивирусна решења за Мицрософт Сервер 2013.
ПривЕкцханге напади су потврђени на потпуно закрпљеним верзијама Екцханге и Виндовс сервера Домаин Цонтроллерс попут Екцханге 2013, 2016 и 2019.
ПОВЕЗАНЕ ОБЈАВЕ ЗА ПРОВЈЕРУ:
- 5 најбољих софтвера за заштиту од нежељене поште за Екцханге сервер е-поште
- 5 најбољих софтвера за приватност е-поште за 2019
