Нова вразливість виявлена ​​в Microsoft Exchange Server 2013, 2016 та 2019. Ця нова вразливість називається PrivExchange і фактично є вразливістю до нуля дня.

Використовуючи цю дірку в захисті, зловмисник може отримати права адміністратора Domain Controller за допомогою облікових даних користувача обмінної поштової скриньки за допомогою простого інструменту Python.

Цю нову вразливість підкреслив дослідник Дірк-Ян Моллема у своєму особистому блозі тиждень тому. У своєму блозі він розкриває важливу інформацію про вразливість PrivExchange з нульовим днем.

Він пише, що це не є єдиним недоліком, чи складається з 3 компонентів, які поєднуються для збільшення доступу зловмисника від будь-якого користувача з поштовою скринькою до домену адміністратора.

Ці три вади:

• Сервери Exchange за замовчуванням мають (занадто) високі привілеї
• Автентифікація NTLM вразлива для ретрансляційних атак
• Біржа має функцію, завдяки якій вона може засвідчити автентифікацію зловмиснику за допомогою облікового запису комп'ютера сервера Exchange

За словами дослідника, всю атаку можна здійснити за допомогою двох інструментів, названих privexchange.py та ntlmrelayx. Однак така ж атака все ще можлива, якщо зловмиснику не вистачає необхідних облікових даних користувачів.

У таких умовах модифікований httpattack.py може бути використаний за допомогою ntlmrelayx для виконання атаки з мережевої точки зору без будь-яких облікових даних.

Як зменшити вразливості Microsoft Exchange Server

Microsoft ще не запропонувала жодних патчів, щоб виправити цю вразливість. Однак у тій же публікації блогу Дірк-Ян Моллема повідомляє про деякі пом'якшення, які можна застосувати для захисту сервера від атак.

Пропоновані пом'якшення наслідків:

• Блокування серверів обміну від встановлення відносин з іншими робочими станціями
• Усунення ключа реєстрації
• Реалізація підпису SMB на серверах Exchange
• Видалення зайвих привілеїв з об’єкта домену Exchange
• Увімкнення розширеного захисту для автентифікації на кінцевих точках Exchange в IIS, виключаючи зворотні біржі Exchange, оскільки це порушило б Exchange).

Крім того, ви можете встановити одне з цих антивірусних рішень для Microsoft Server 2013.

Атаки PrivExchange були підтверджені на повністю виправлених версіях серверів Exchange і Windows-контролерів домену, таких як Exchange 2013, 2016 та 2019.