Нова уязвимост е открита в Microsoft Exchange Server 2013, 2016 и 2019. Тази нова уязвимост се нарича PrivExchange и всъщност е уязвимост с нулев ден.

Използвайки тази дупка за сигурност, нападателят може да получи администраторски права на Domain Controller, използвайки идентификационните данни на потребител на обменна пощенска кутия с помощта на прост инструмент Python.

Тази нова уязвимост бе изтъкната от изследовател Дирк-Ян Моллема в личния му блог преди седмица. В своя блог той разкрива важна информация за уязвимостта на PrivExchange с нулев ден.

Той пише, че това не е един недостатък, независимо дали се състои от 3 компонента, които са комбинирани за ескалиране на достъпа на атакуващ от всеки потребител с пощенска кутия до домейн администратор.

Тези три недостатъка са:

• Exchange сървърите имат (прекалено) високи привилегии по подразбиране
• Удостоверяването на NTLM е уязвимо за релейните атаки
• Exchange има функция, която го прави да се удостоверява на нападател с компютърния акаунт на Exchange сървъра.

Според изследователя цялата атака може да бъде извършена с помощта на двата инструмента, наречени privexchange.py и ntlmrelayx. Все пак същата атака все още е възможна, ако нападател няма необходимите потребителски идентификационни данни.

При такива обстоятелства модифицираният httpattack.py може да се използва с ntlmrelayx за извършване на атаката от мрежова гледна точка без никакви идентификационни данни.

Как да смекчим уязвимостите на Microsoft Exchange Server

Майкрософт все още не е предложил корекции, които да коригират тази уязвимост. В същата публикация в блога обаче Дирк-Ян Моллема съобщава за някои смекчаващи мерки, които могат да бъдат приложени за защита на сървъра от атаките.

Предлаганите смекчаващи мерки са:

• Блокиране на сървърите за обмен от установяване на връзки с други работни станции
• Елиминиране на регистърния ключ
• Изпълнение на SMB подписване на сървъри на Exchange
• Премахване на ненужни привилегии от обекта на домейн Exchange
• Активиране на разширена защита за автентификация на крайните точки на Exchange в IIS, с изключение на тези в Back Back End, защото това би нарушило Exchange).

Освен това можете да инсталирате едно от тези антивирусни решения за Microsoft Server 2013.

Атаките на PrivExchange бяха потвърдени на напълно закърнените версии на контролерите на домейни на Exchange и Windows като контроли на домейни като Exchange 2013, 2016 и 2019.