พบช่องโหว่ใหม่ใน Microsoft Exchange Server 2013, 2016 และ 2019 ช่องโหว่ใหม่นี้เรียกว่า PrivExchange และเป็นช่องโหว่ซีโร่เดย์จริงๆ
การใช้ช่องโหว่ด้านความปลอดภัยนี้ ผู้โจมตีสามารถรับสิทธิ์ผู้ดูแลระบบ Domain Controller โดยใช้ข้อมูลประจำตัวของผู้ใช้กล่องจดหมายแลกเปลี่ยนด้วยความช่วยเหลือของเครื่องมือ Python อย่างง่าย
ช่องโหว่ใหม่นี้ได้รับการเน้นโดยนักวิจัย Dirk-Jan Mollema on บล็อกส่วนตัวของเขา สัปดาห์ที่ผ่านมา. ในบล็อกของเขา เขาเปิดเผยข้อมูลสำคัญเกี่ยวกับช่องโหว่ Zero-day ของ PrivExchange
เขาเขียนว่านี่ไม่ใช่ข้อบกพร่องเดียวไม่ว่าจะประกอบด้วย 3 องค์ประกอบที่รวมกันเพื่อเพิ่มการเข้าถึงของผู้โจมตีจากผู้ใช้ที่มีกล่องจดหมายไปยัง Domain Admin
ข้อบกพร่องทั้งสามนี้คือ:
- Exchange Servers มีสิทธิ์สูง (เกินไป) ตามค่าเริ่มต้น
- การรับรองความถูกต้องของ NTLM มีความเสี่ยงที่จะส่งต่อการโจมตี
- Exchange มีคุณสมบัติที่ทำให้ตรวจสอบสิทธิ์ผู้โจมตีด้วยบัญชีคอมพิวเตอร์ของเซิร์ฟเวอร์ Exchange
นักวิจัยกล่าวว่าการโจมตีทั้งหมดสามารถทำได้โดยใช้เครื่องมือสองอย่างชื่อ privexchange .py และ ntlmrelayx อย่างไรก็ตาม การโจมตีแบบเดิมยังคงเป็นไปได้หากผู้โจมตี ไม่มีข้อมูลรับรองผู้ใช้ที่จำเป็น.
ในสถานการณ์ดังกล่าว สามารถใช้ httpattack.py ที่แก้ไขแล้วกับ ntlmrelayx เพื่อทำการโจมตีจากมุมมองของเครือข่ายโดยไม่ต้องมีข้อมูลประจำตัวใดๆ
วิธีลดช่องโหว่ของ Microsoft Exchange Server
ยังไม่มีการเสนอแพตช์เพื่อแก้ไขช่องโหว่ซีโร่เดย์นี้ อย่างไรก็ตาม ในบล็อกโพสต์เดียวกัน Dirk-Jan Mollema สื่อสารการบรรเทาผลกระทบบางอย่างที่สามารถนำไปใช้เพื่อปกป้องเซิร์ฟเวอร์จากการโจมตี
การบรรเทาผลกระทบที่เสนอคือ:
- การบล็อกเซิร์ฟเวอร์แลกเปลี่ยนจากการสร้างความสัมพันธ์กับเวิร์กสเตชันอื่น
- การกำจัดรหัสลงทะเบียน
- การนำการลงนาม SMB ไปใช้บนเซิร์ฟเวอร์ Exchange
- การลบสิทธิ์ที่ไม่จำเป็นออกจากวัตถุโดเมน Exchange
- การเปิดใช้งาน Extended Protection for Authentication บน Exchange endpoints ใน IIS ยกเว้น Exchange Back End เนื่องจากจะทำให้ Exchange เสียหาย)
นอกจากนี้ คุณสามารถติดตั้งหนึ่งใน โซลูชันป้องกันไวรัสเหล่านี้สำหรับ Microsoft Server 2013.
การโจมตี PrivExchange ได้รับการยืนยันบนเซิร์ฟเวอร์ Exchange และ Windows Servers เวอร์ชันที่มีการแพตช์อย่างสมบูรณ์ เช่น Exchange 2013, 2016 และ 2019
โพสต์ที่เกี่ยวข้องเพื่อตรวจสอบ:
- 5 ซอฟต์แวร์ป้องกันสแปมที่ดีที่สุดสำหรับเซิร์ฟเวอร์อีเมล Exchange ของคุณ
- 5 ซอฟต์แวร์ความเป็นส่วนตัวอีเมลที่ดีที่สุดสำหรับปี 2019
