Нову вразливість виявлено в Microsoft Exchange Server 2013, 2016 та 2019. Ця нова вразливість називається PrivExchange і насправді є вразливістю нульового дня.
Використовуючи цю діру в безпеці, зловмисник може отримати привілеї адміністратора Domain Controller, використовуючи облікові дані користувача поштової скриньки обміну, за допомогою простого інструменту Python.
Цю нову вразливість підкреслив дослідник Дірк-Ян Моллема його особистий блог тиждень назад. У своєму блозі він розкриває важливу інформацію про вразливість нульових днів PrivExchange.
Він пише, що це не єдиний недолік, що складається з 3 компонентів, які поєднуються для ескалації доступу зловмисника від будь-якого користувача з поштовою скринькою до адміністратора домену.
Ці три недоліки:
- Сервери Exchange за замовчуванням мають (занадто) високі привілеї
- Аутентифікація NTLM вразлива до атак ретрансляції
- Exchange має функцію, яка дозволяє автентифікувати зловмисника за допомогою комп'ютерного облікового запису сервера Exchange.
На думку дослідника, всю атаку можна здійснити за допомогою двох інструментів, названих privexchange .py та ntlmrelayx. Однак та сама атака все ще можлива, якщо зловмисник
не має необхідних облікових даних користувача.За таких обставин модифікований httpattack.py можна використовувати разом з ntlmrelayx для здійснення атаки з точки зору мережі без будь-яких облікових даних.
Як усунути вразливості Microsoft Exchange Server
Майкрософт ще не пропонувала жодних виправлень для усунення цієї уразливості нульового дня. Однак у тому ж дописі в блозі Дірк-Ян Моллема повідомляє про деякі пом'якшення, які можна застосувати для захисту сервера від атак.
Пропоновані пом'якшувальні дії:
- Блокування серверів обміну від встановлення відносин з іншими робочими станціями
- Видалення ключа реєстру
- Впровадження підпису SMB на серверах Exchange
- Видалення непотрібних привілеїв із об’єкта домену Exchange
- Увімкнення розширеного захисту для автентифікації на кінцевих точках Exchange у службі IIS, за винятком тих, що стосуються Exchange Back End, оскільки це може зламати Exchange).
Крім того, ви можете встановити один із ці антивірусні рішення для Microsoft Server 2013.
Атаки PrivExchange були підтверджені на повністю виправлених версіях контролерів домену Exchange і серверів Windows, таких як Exchange 2013, 2016 та 2019.
ПОВ'ЯЗАНІ ПОСТИ ДЛЯ ПЕРЕВІРКИ:
- 5 найкращих програм захисту від спаму для вашого сервера електронної пошти Exchange
- 5 найкращих програм для конфіденційності електронної пошти на 2019 рік
