2013, 2016 ir 2019 m. Buvo rastas naujas pažeidžiamumas. Šis naujas pažeidžiamumas vadinamas PrivExchange ir iš tikrųjų yra nulinės dienos pažeidžiamumas.

Išnaudodamas šią saugos skylę, užpuolikas gali įgyti domeno valdiklio administratoriaus teises naudodamas mainų pašto dėžutės vartotojo kredencialus paprasto „Python“ įrankio pagalba.

Šį naują pažeidžiamumą prieš savaitę asmeniniame tinklaraštyje pabrėžė tyrėjas Dirkas-Janas Mollema. Savo tinklaraštyje jis atskleidžia svarbią informaciją apie „PrivExchange“ nulinės dienos pažeidžiamumą.

Jis rašo, kad tai nėra vienintelis trūkumas, nesvarbu, ar jį sudaro 3 komponentai, kurie yra sujungti taip, kad padidintų bet kurio vartotojo, turinčio pašto dėžutę, prieigą prie domeno administratoriaus.

Šie trys trūkumai:

• „Exchange“ serveriai pagal numatytuosius nustatymus turi (per) aukštas privilegijas
• NTLM autentifikavimas yra pažeidžiamas relės atakų
• „Exchange“ turi funkciją, leidžiančią autentifikuoti užpuoliką naudojantis „Exchange“ serverio kompiuterio sąskaita.

Anot tyrėjo, visą ataką galima įvykdyti naudojant du įrankius, pavadintus „privexchange.py“ ir „ntlmrelayx“. Tačiau ta pati ataka vis dar įmanoma, jei užpuolikui trūksta reikiamų vartotojo kredencialų.

Tokiomis aplinkybėmis modifikuotą httpattack.py galima naudoti kartu su ntlmrelayx, kad būtų galima vykdyti ataką tinklo perspektyvoje be jokių kredencialų.

Kaip sušvelninti „Microsoft Exchange Server“ spragas

„Microsoft“ kol kas nesiūlė jokių pataisų, kad būtų galima pašalinti šią nulinės dienos pažeidžiamumą. Tačiau tame pačiame tinklaraščio įraše Dirk-Janas Mollema pateikia keletą švelninimo priemonių, kurios gali būti pritaikytos serverio apsaugai nuo atakų.

Siūlomi švelninimo būdai:

• Blokuoti mainų serverius užmegzti ryšius su kitomis darbo stotimis
• Pašalinamas registracijos raktas
• Įdiegti SMB pasirašymą „Exchange“ serveriuose
• Pašalinkite nereikalingas privilegijas iš „Exchange“ domeno objekto
• Įjungus išplėstinę autentifikavimo apsaugą „Exchange“ galiniuose taškuose IIS, išskyrus „Exchange“ galinius taškus, nes tai sugadintų „Exchange“).

Be to, galite įdiegti vieną iš šių antivirusinių sprendimų „Microsoft Server 2013“.

„PrivExchange“ išpuoliai buvo patvirtinti visiškai pakeistose „Exchange“ ir „Windows“ serverių domenų valdiklių versijose, tokiose kaip „Exchange 2013“, 2016 ir 2019.