Microsoft Exchange Server 2013, 2016 ve 2019'da yeni bir güvenlik açığı bulundu. Bu yeni güvenlik açığının adı Özel Değişim ve aslında bir sıfır gün güvenlik açığıdır.
Bu güvenlik açığından yararlanan bir saldırgan, basit Python aracının yardımıyla bir değişim posta kutusu kullanıcısının kimlik bilgilerini kullanarak Etki Alanı Denetleyicisi yönetici ayrıcalıkları elde edebilir.
Bu yeni güvenlik açığı, bir araştırmacı Dirk-Jan Mollema tarafından onun kişisel blogu bir hafta önce. Blogunda PrivExchange sıfır gün güvenlik açığı hakkında önemli bilgiler açıklıyor.
Bunun, bir saldırganın posta kutusu olan herhangi bir kullanıcıdan Etki Alanı Yöneticisine erişimini yükseltmek için birleştirilen 3 bileşenden oluşup oluşmadığının tek bir kusur olmadığını yazıyor.
Bu üç kusur şunlardır:
- Exchange Sunucuları varsayılan olarak (çok) yüksek ayrıcalıklara sahiptir
- NTLM kimlik doğrulaması, geçiş saldırılarına karşı savunmasızdır
- Exchange, Exchange sunucusunun bilgisayar hesabıyla bir saldırganın kimliğini doğrulamasını sağlayan bir özelliğe sahiptir.
Araştırmacıya göre tüm saldırı privexchange .py ve ntlmrelayx adlı iki araç kullanılarak gerçekleştirilebilir. Ancak, aynı saldırı yine de bir saldırgan gerekli kullanıcı kimlik bilgilerinden yoksun.
Bu gibi durumlarda, saldırıyı herhangi bir kimlik bilgisi olmadan ağ perspektifinden gerçekleştirmek için değiştirilmiş httpattack.py ntlmrelayx ile kullanılabilir.
Microsoft Exchange Server güvenlik açıkları nasıl azaltılır
Microsoft tarafından henüz bu sıfırıncı gün güvenlik açığını düzeltecek herhangi bir yama önerilmemiştir. Ancak aynı blog gönderisinde Dirk-Jan Mollema, sunucuyu saldırılara karşı korumak için uygulanabilecek bazı azaltıcı etkenlerden bahseder.
Önerilen hafifletmeler şunlardır:
- Exchange sunucularının diğer iş istasyonlarıyla ilişki kurmasını engelleme
- Kayıt anahtarının kaldırılması
- Exchange sunucularında SMB imzalamayı uygulama
- Exchange etki alanı nesnesinden gereksiz ayrıcalıkları kaldırma
- IIS'deki Exchange uç noktalarında Kimlik Doğrulaması için Genişletilmiş Korumayı Etkinleştirme, bu, Exchange'i bozacağı için Exchange Arka Uçları hariçtir).
Ek olarak, şunlardan birini yükleyebilirsiniz: Microsoft Server 2013 için bu antivirüs çözümleri.
PrivExchange saldırıları, Exchange 2013, 2016 ve 2019 gibi Exchange ve Windows sunucularının Etki Alanı Denetleyicilerinin tam yamalı sürümlerinde onaylandı.
KONTROL ETMEK İÇİN İLGİLİ YAZILAR:
- Exchange e-posta sunucunuz için en iyi 5 istenmeyen posta önleme yazılımı
- 2019 için en iyi e-posta gizlilik yazılımlarından 5'i
