En ny sårbarhed er fundet i Microsoft Exchange Server 2013, 2016 og 2019. Denne nye sårbarhed kaldes PrivExchange og er faktisk en nul-dages sårbarhed.

Ved at udnytte dette sikkerhedshul kan en angriber få administratorrettigheder til domænecontroller ved hjælp af en udvekslingspostkassebrugers legitimationsoplysninger ved hjælp af simpelt Python-værktøj.

Denne nye sårbarhed blev fremhævet af en forsker Dirk-Jan Mollema på hans personlige blog for en uge siden. I sin blog afslører han vigtige oplysninger om PrivExchange nul-dages sårbarhed.

Han skriver, at dette ikke er en enkelt fejl, uanset om den består af 3 komponenter, der er kombineret for at eskalere adgangen til en angriber fra enhver bruger med en postkasse til domæneadministrator.

Disse tre mangler er:

• Exchange-servere har som standard (for) høje privilegier
• NTLM-godkendelse er sårbar overfor relæangreb
• Exchange har en funktion, der får den til at autentificere til en hacker med Exchange-serverens computerkonto.

Ifølge forskeren kan hele angrebet udføres ved hjælp af de to værktøjer, der hedder privexchange.py og ntlmrelayx. Det samme angreb er dog stadig muligt, hvis en angriber mangler de nødvendige brugeroplysninger.

Under sådanne omstændigheder kan modificeret httpattack.py bruges med ntlmrelayx til at udføre angrebet fra et netværksperspektiv uden nogen legitimationsoplysninger.

Sådan afhjælpes Microsoft Exchange Server sårbarheder

Ingen patches til at løse denne nul-dages sårbarhed er endnu ikke foreslået af Microsoft. I det samme blogindlæg kommunikerer Dirk-Jan Mollema imidlertid nogle afbødninger, der kan anvendes til at beskytte serveren mod angrebene.

De foreslåede begrænsninger er:

• Blokerer for udvekslingsservere fra at etablere forbindelser med andre arbejdsstationer
• Fjernelse af registernøglen
• Implementering af SMB-signering på Exchange-servere
• Fjernelse af unødvendige privilegier fra Exchange-domæneobjektet
• Aktivering af udvidet beskyttelse til godkendelse på Exchange-slutpunkter i IIS, eksklusive Exchange-bagenden, fordi dette ville ødelægge Exchange).

Derudover kan du installere en af ​​disse antivirusløsninger til Microsoft Server 2013.

PrivExchange-angrebene er bekræftet på de fuldt programrettede versioner af Exchange- og Windows-serveres domænecontrollere som Exchange 2013, 2016 og 2019.