Programmās Microsoft Exchange Server 2013, 2016 un 2019. ir atrasta jauna ievainojamība. Šo jauno ievainojamību sauc par PrivExchange, un tā faktiski ir nulles dienas ievainojamība.

Izmantojot šo drošības caurumu, uzbrucējs var iegūt domēna kontroliera administratora privilēģijas, izmantojot apmaiņas pastkastes lietotāja akreditācijas datus, izmantojot vienkāršu Python rīku.

Šo jauno ievainojamību pirms nedēļas savā personīgajā emuārā uzsvēra pētnieks Dirks-Jans Mollema. Savā emuārā viņš atklāj svarīgu informāciju par PrivExchange nulles dienas ievainojamību.

Viņš raksta, ka tā nav viena kļūda neatkarīgi no tā, vai tas sastāv no 3 komponentiem, kas ir apvienoti, lai palielinātu uzbrucēja piekļuvi jebkuram lietotājam, kuram ir pastkaste, uz Domain Admin.

Šie trīs trūkumi ir:

• Apmaiņas serveriem pēc noklusējuma ir (pārāk) augstas privilēģijas
• NTLM autentifikācija ir neaizsargāta pret releju uzbrukumiem
• Exchange ir funkcija, kas padara to autentificētu uzbrucēju ar Exchange servera datora kontu.

Pēc pētnieka domām, visu uzbrukumu var veikt, izmantojot divus rīkus ar nosaukumu privexchange.py un ntlmrelayx. Tomēr tas pats uzbrukums joprojām ir iespējams, ja uzbrucējam trūkst nepieciešamo lietotāja akreditācijas datu.

Šādos gadījumos modificēto httpattack.py var izmantot kopā ar ntlmrelayx, lai veiktu uzbrukumu no tīkla perspektīvas bez akreditācijas datiem.

Kā mazināt Microsoft Exchange Server ievainojamības

Microsoft vēl nav ierosinājis nevienu ielāpu, lai labotu šo nulles dienas ievainojamību. Tomēr tajā pašā emuāra ierakstā Dirks-Jans Mollema paziņo dažus mazināšanas pasākumus, kurus var izmantot, lai aizsargātu serveri no uzbrukumiem.

Ierosinātie mazinājumi ir šādi:

• Bloķēt apmaiņas serverus no attiecību nodibināšanas ar citām darbstacijām
• Reģistrācijas atslēgas izslēgšana
• SMB parakstīšanas ieviešana Exchange serveros
• Nevajadzīgu privilēģiju noņemšana no Exchange domēna objekta
• Iespējojot paplašinātu aizsardzību autentifikācijai Exchange galapunktos IIS, izslēdzot Exchange Back End, jo tas sabojās Exchange).

Turklāt Microsoft Server 2013 varat instalēt vienu no šiem pretvīrusu risinājumiem.

PrivExchange uzbrukumi ir apstiprināti pilnīgi izlabotajās Exchange un Windows serveru domēnu kontrolleru versijās, piemēram, Exchange 2013, 2016 un 2019.