V Microsoft Exchange Server 2013, 2016 a 2019 sa našla nová zraniteľnosť. Táto nová zraniteľnosť sa nazýva PrivExchange a je vlastne zraniteľnosťou nulového dňa.

Únikom tejto bezpečnostnej diery môže útočník získať oprávnenia správcu domény pomocou oprávnení používateľa poštovej schránky na výmenu pomocou jednoduchého nástroja Python.

Túto novú zraniteľnosť zdôraznil výskumník Dirk-Jan Mollema na svojom osobnom blogu pred týždňom. Vo svojom blogu zverejňuje dôležité informácie o zraniteľnosti programu PrivExchange v nultý deň.

Píše, že nejde o jedinú chybu, či už pozostáva z 3 komponentov, ktoré sú kombinované tak, aby eskalovali prístup útočníka z ľubovoľného používateľa s poštovou schránkou na Domain Admin.

Tieto tri nedostatky sú:

• Výmenné servery majú v predvolenom nastavení (príliš) vysoké privilégiá
• Autentifikácia NTLM je náchylná na prenosové útoky
• Exchange má funkciu, vďaka ktorej sa autentizuje útočníkom pomocou počítačového účtu Exchange servera.

Podľa výskumníka je možné celý útok vykonať pomocou dvoch nástrojov s názvom privexchange.py a ntlmrelayx. Rovnaký útok je však stále možný, ak útočník nemá potrebné používateľské poverenia.

Za takýchto okolností je možné s aplikáciou ntlmrelayx použiť modifikovaný httpattack.py na vykonanie útoku zo sieťového hľadiska bez akýchkoľvek poverení.

Ako zmierniť zraniteľnosti servera Microsoft Exchange Server

Spoločnosť Microsoft zatiaľ nenavrhla žiadne opravy na nápravu tejto zraniteľnosti v nultý deň. V rovnakom blogovom príspevku však Dirk-Jan Mollema oznamuje niektoré zmiernenia, ktoré je možné použiť na ochranu servera pred útokmi.

Navrhované zmiernenia sú:

• Blokovanie výmenných serverov pred nadviazaním vzťahov s inými pracovnými stanicami
• Eliminácia kľúča registra
• Implementácia podpisovania SMB na serveroch Exchange
• Odstránenie nepotrebných privilégií z objektu domény Exchange
• Povolenie rozšírenej ochrany pre autentifikáciu na koncových bodoch servera Exchange v službe IIS s výnimkou koncových bodov servera Exchange, pretože by to narušilo výmenu servera Exchange).

Okrem toho môžete nainštalovať jedno z týchto antivírusových riešení pre server Microsoft Server 2013.

Útoky PrivExchange boli potvrdené na plne opravených verziách radičov domény Exchange a Windows, ako sú Exchange 2013, 2016 a 2019.