Új biztonsági rést találtak a Microsoft Exchange Server 2013, 2016 és 2019-ben. Ezt az új biztonsági rést PrivExchange néven hívják fel, és valójában nulla napos biztonsági rést jelent.

Ezt a biztonsági lyukat kihasználva a támadó az egyszerű Python eszköz segítségével megkaphatja a Domain Controller rendszergazdai jogosultságait az Exchange-postafiók felhasználói hitelesítő adatainak felhasználásával.

Ezt az új sebezhetőséget Dirk-Jan Mollema kutató hangsúlyozta személyes blogjában egy hete. Blogjában fontos információkat közöl a PrivExchange nulla napos sérülékenységéről.

Azt írja, hogy ez nem egyetlen hiba, függetlenül attól, hogy három összetevőből áll-e, amelyek kombináltak annak érdekében, hogy a támadó hozzáférését minden felhasználó számára, aki postafiókkal bővíti a Domain Admin hozzáférését.

Ez a három hiba a következő:

• Az Exchange kiszolgálók alapértelmezés szerint (túl) magas jogosultságokkal rendelkeznek
• Az NTLM hitelesítés érzékeny a relékámadásokra
• Az Exchange olyan funkcióval rendelkezik, amely lehetővé teszi a támadó hitelesítését az Exchange szerver számítógépes fiókjával.

A kutató szerint a teljes támadást a privexchange.py és ntlmrelayx nevû két eszköz felhasználásával lehet végrehajtani. Ugyanakkor ugyanaz a támadás továbbra is lehetséges, ha a támadónak hiányzik a szükséges felhasználói hitelesítő adatok.

Ilyen körülmények között a módosított httpattack.py felhasználható az ntlmrelayx-rel a támadás hálózati szempontból történő végrehajtására hitelesítő adatok nélkül.

A Microsoft Exchange Server biztonsági réseinek csökkentése

A Microsoft még nem javasolt javításokat a nulla napos biztonsági rés kiküszöbölésére. Ugyanakkor ugyanabban a blogbejegyzésben Dirk-Jan Mollema közli néhány enyhítést, amelyet a szerver támadásoktól való védelmére lehet alkalmazni.

A javasolt enyhítések a következők:

• Az Exchange kiszolgálók megakadályozása, hogy más munkaállomásokkal kapcsolatot létesítsenek
• A regisztrációs kulcs eltávolítása
• Az SMB aláírás végrehajtása az Exchange szervereknél
• A felesleges jogosultságok eltávolítása az Exchange tartományobjektumból
• A hitelesítés kiterjesztett védelmének engedélyezése az IIS Exchange végpontjain, az Exchange háttérvégének kizárása, mert ez megtöri az Exchange szolgáltatást).

Ezenkívül telepítheti ezen víruskereső megoldások egyikét a Microsoft Server 2013 rendszerre.

A PrivExchange támadásokat megerősítették az Exchange és a Windows kiszolgálók tartományvezérlőinek teljesen javított verzióin, például az Exchange 2013, 2016 és 2019.