В Microsoft Exchange Server 2013, 2016 и 2019 была обнаружена новая уязвимость. Эта новая уязвимость называется PrivExchange и фактически является уязвимостью нулевого дня.

Используя эту дыру в безопасности, злоумышленник может получить привилегии администратора контроллера домена, используя учетные данные пользователя почтового ящика обмена с помощью простого инструмента Python.

Эта новая уязвимость была отмечена исследователем Дирком-Яном Моллема в его личном блоге неделю назад. В своем блоге он раскрывает важную информацию об уязвимости PrivExchange нулевого дня.

Он пишет, что это не единственный недостаток, состоящий из 3 компонентов, которые объединены для расширения доступа злоумышленника от любого пользователя с почтовым ящиком к администратору домена.

Эти три недостатки:

• Серверы Exchange имеют (слишком) высокие права по умолчанию
• NTLM-аутентификация уязвима для ретрансляционных атак
• Exchange имеет функцию, которая делает его аутентифицированным для злоумышленника с учетной записью компьютера сервера Exchange.

По словам исследователя, вся атака может быть выполнена с использованием двух инструментов, названных privexchange.py и ntlmrelayx. Однако та же атака все еще возможна, если злоумышленнику не хватает необходимых учетных данных пользователя.

В таких случаях модифицированный httpattack.py можно использовать с ntlmrelayx для выполнения атаки с сетевой точки зрения без каких-либо учетных данных.

Как смягчить уязвимости Microsoft Exchange Server

Microsoft пока не предложила никаких исправлений для исправления этой уязвимости нулевого дня. Однако в том же сообщении в блоге Дирк-Ян Моллема сообщает о некоторых мерах по снижению риска, которые могут быть применены для защиты сервера от атак.

Предлагаемые меры:

• Блокирование серверов обмена от установления отношений с другими рабочими станциями
• Исключение регистрационного ключа
• Внедрение подписи SMB на серверах Exchange
• Удаление ненужных привилегий из объекта домена Exchange
• Включение расширенной защиты для проверки подлинности на конечных точках Exchange в IIS, за исключением конечных точек Exchange, поскольку это может привести к поломке Exchange).

Кроме того, вы можете установить одно из этих антивирусных решений для Microsoft Server 2013.

Атаки на PrivExchange были подтверждены на полностью исправленных версиях контроллеров домена серверов Exchange и Windows, таких как Exchange 2013, 2016 и 2019.