Microsoft Exchange Server 2013, 2016 ja 2019. -sovelluksissa on löydetty uusi haavoittuvuus. Tätä uutta haavoittuvuutta kutsutaan PrivExchangeksi ja se on itse asiassa nollapäivän haavoittuvuus.

Hyödyntämällä tätä tietoturva-aukkoa hyökkääjä voi saada Domain Controller -järjestelmänvalvojan oikeudet käyttämällä Exchange-postilaatikon käyttäjän valtuustietoja yksinkertaisen Python-työkalun avulla.

Tutkija Dirk-Jan Mollema korosti tätä uutta haavoittuvuutta henkilökohtaisessa blogissaan viikko sitten. Blogissaan hän paljastaa tärkeitä tietoja PrivExchange-nollapäivän haavoittuvuudesta.

Hän kirjoittaa, että tämä ei ole yksi virhe, koostuuko se kolmesta komponentista, jotka yhdistetään hyökkääjän pääsyn lisäämiseksi mistä tahansa käyttäjästä, jolla on postilaatikko, Domain Adminiin.

Nämä kolme virhettä ovat:

• Exchange-palvelimilla on (liian) korkeat käyttöoikeudet oletuksena
• NTLM-todennus on alttiina välityshyökkäyksille
• Exchangessa on ominaisuus, jonka avulla se voidaan todentaa hyökkääjälle Exchange-palvelimen tietokonetilin avulla.

Tutkijan mukaan koko hyökkäys voidaan suorittaa käyttämällä kahta työkalua nimeltä privexchange.py ja ntlmrelayx. Sama hyökkäys on kuitenkin edelleen mahdollista, jos hyökkääjältä puuttuu tarvittavat käyttäjätiedot.

Tällaisissa olosuhteissa muokattua httpattack.py: tä voidaan hyödyntää ntlmrelayx: n kanssa hyökkäyksen suorittamiseksi verkon näkökulmasta ilman valtuustietoja.

Kuinka lieventää Microsoft Exchange Server -haavoittuvuuksia

Microsoft ei ole vielä ehdottanut korjauksia tämän nollapäivän haavoittuvuuden korjaamiseksi. Dirk-Jan Mollema ilmoittaa kuitenkin samassa blogiviestissä joitain lievennyksiä, joita voidaan käyttää suojaamaan palvelinta hyökkäyksiltä.

Ehdotetut lievennykset ovat:

• Estää vaihtopalvelimet muodostamasta suhteita muihin työasemiin
• Rekisteriavaimen poistaminen
• Toteutetaan SMB-allekirjoittaminen Exchange-palvelimilla
• Tarpeettomien oikeuksien poistaminen Exchange-toimialueobjektista
• Laajennetun suojauksen käyttöönotto todennukselle Exchange-päätepisteissä IIS: ssä, pois lukien Exchange-taustapään päätepisteet, koska se rikkoisi Exchangea).

Lisäksi voit asentaa yhden näistä virustorjuntaratkaisuista Microsoft Server 2013: lle.

PrivExchange-hyökkäykset on vahvistettu Exchange- ja Windows-palvelimien verkkotunnuksen ohjainten, kuten Exchange 2013, 2016 ja 2019, täysin patched-versioissa.