O nouă vulnerabilitate a fost găsită în Microsoft Exchange Server 2013, 2016 și 2019. Această nouă vulnerabilitate se numește PrivExchange și este de fapt o vulnerabilitate de zero zile.

Exploatând acest orificiu de securitate, un atacator poate obține privilegii de administrare a domeniului Controller folosind datele de acreditare ale unui utilizator de căsuță poștală de schimb cu ajutorul unui instrument Python simplu.

Această nouă vulnerabilitate a fost evidențiată de un cercetător Dirk-Jan Mollema pe blogul său personal în urmă cu o săptămână. În blogul său, el dezvăluie informații importante despre vulnerabilitatea PrivExchange pentru zero zile.

El scrie că acesta nu este un singur defect dacă este format din 3 componente care sunt combinate pentru a escalada accesul unui atacator de la orice utilizator cu o căsuță poștală la Admin.

Aceste trei defecte sunt:

• Serverele Exchange au (prea) privilegii mari în mod implicit
• Autentificarea NTLM este vulnerabilă la atacurile cu releu
• Exchange are o caracteristică care îl face să se autentifice pentru un atacator cu contul computerului serverului Exchange.

Potrivit cercetătorului, întregul atac poate fi efectuat folosind cele două instrumente numite privexchange.py și ntlmrelayx. Totuși, același atac este încă posibil dacă un atacator nu are acreditările necesare ale utilizatorului.

În astfel de circumstanțe, httpattack.py modificat poate fi utilizat cu ntlmrelayx pentru a efectua atacul dintr-o perspectivă de rețea fără nicio acreditare.

Cum să atenuați vulnerabilitățile Microsoft Exchange Server

Microsoft nu a propus încă niciun patch pentru a remedia această vulnerabilitate pentru ziua zero. Cu toate acestea, în aceeași postare pe blog, Dirk-Jan Mollema comunică câteva atenuări care pot fi aplicate pentru a proteja serverul de atacuri.

Mitigările propuse sunt:

• Blocarea serverelor de schimb de a stabili relații cu alte stații de lucru
• Eliminarea cheii registrului
• Implementarea semnării SMB pe serverele Exchange
• Eliminarea privilegiilor inutile din obiectul de domeniu Exchange
• Activarea Protecției extinse pentru autentificare la punctele finale ale Exchange din IIS, excluzând cele din Back Back Exchange, deoarece acest lucru ar rupe Exchange).

În plus, puteți instala una dintre aceste soluții antivirus pentru Microsoft Server 2013.

Atacurile PrivExchange au fost confirmate pe versiunile complet patchate ale serverelor Exchange și Windows Server Controllers de domeniu precum Exchange 2013, 2016 și 2019.