En ny sårbarhet har hittats i Microsoft Exchange Server 2013, 2016 och 2019. Denna nya sårbarhet kallas PrivExchange och är faktiskt en nolldagars sårbarhet.
Genom att utnyttja detta säkerhetshål kan en angripare få domänkontrollantadministratörsbehörigheter med hjälp av autentiseringsuppgifter för en utbytesbrevlådanvändare med hjälp av ett enkelt Python-verktyg.
Denna nya sårbarhet lyfts fram av en forskare Dirk-Jan Mollema på hans personliga blogg en vecka sedan. I sin blogg avslöjar han viktig information om PrivExchange nolldagars sårbarhet.
Han skriver att detta inte är en enda brist, oavsett om den består av tre komponenter som kombineras för att öka en angripares åtkomst från alla användare med en postlåda till Domain Admin.
Dessa tre brister är:
- Exchange-servrar har (för) höga privilegier som standard
- NTLM-autentisering är sårbar för reläattacker
- Exchange har en funktion som gör att den autentiseras för en angripare med Exchange-serverns datorkonto.
Enligt forskaren kan hela attacken utföras med de två verktygen som heter privexchange .py och ntlmrelayx. Men samma attack är fortfarande möjlig om en angripare
saknar nödvändiga användaruppgifter.Under sådana omständigheter kan modifierad httpattack.py användas med ntlmrelayx för att utföra attacken ur ett nätverksperspektiv utan några referenser.
Hur du kan mildra Microsoft Exchange Server-sårbarheter
Inga korrigeringar för att åtgärda denna nolldagars sårbarhet har föreslagits av Microsoft än. I samma blogginlägg kommunicerar emellertid Dirk-Jan Mollema några begränsningar som kan användas för att skydda servern från attackerna.
De föreslagna begränsningarna är:
- Blockerar växelservrar från att skapa relationer med andra arbetsstationer
- Eliminera registernyckeln
- Implementering av SMB-signering på Exchange-servrar
- Ta bort onödiga behörigheter från Exchange-domänobjektet
- Aktivera utökat skydd för autentisering på Exchange-slutpunkterna i IIS, exklusive Exchange Back End-enheter eftersom detta skulle bryta Exchange).
Dessutom kan du installera en av dessa antiviruslösningar för Microsoft Server 2013.
PrivExchange-attackerna har bekräftats på de fullständigt korrigerade versionerna av Exchange- och Windows-servrar Domänkontrollanter som Exchange 2013, 2016 och 2019.
RELATERADE TJÄNSTER FÖR ATT KONTROLLERA:
- 5 bästa anti-spam-programvara för din Exchange-e-postserver
- 5 av de bästa e-postprogramvaran för 2019
