Microsoft Exchange уязвим для PrivExchange нулевого дня

Microsoft Exchange уязвим для “PrivExchange” нулевого дня

Инструмент проверки концепции позволяет злоумышленникам расширить взломанный почтовый ящик до уровня администратора на внутреннем контроллере домена компании.

Каталин Чимпану за нулевой день | 29 января 2019. 13:32 GMT (05:32 PST) | Тема: Безопасность

Microsoft Exchange 2013 и новее уязвимы для «нулевого дня» с именем «PrivExchange», что позволяет удаленному злоумышленнику, используя только учетные данные одного пользователя почтового ящика с низким уровнем Exchange, получить привилегии администратора контроллера домена с помощью простого инструмента Python.

Больше новостей о безопасности

Подробности об этом нулевом дне были обнародованы на прошлой неделе Дирк-ян Моллема, исследователем безопасности из голландской фирмы по кибербезопасности Fox-IT.

По словам исследователя, нулевой день. это не единственный недостаток, а комбинация трех (по умолчанию) настроек и механизмов, которые злоумышленник может использовать для передачи своего доступа из взломанной учетной записи электронной почты администратору внутреннего контроллера домена компании. (сервер, который обрабатывает запросы аутентификации безопасности в домене Windows). По словам Моллема, три проблемы:

  1. Серверы Microsoft Exchange имеют функцию веб-служб Exchange (EWS), которую злоумышленники могут использовать для проверки подлинности серверов Exchange на контролируемом злоумышленниками веб-сайте с учетной записью компьютера сервера Exchange.
  2. Эта аутентификация выполняется с использованием хэшей NTLM, отправляемых через HTTP, и серверу Exchange также не удается установить флаги Sign и Seal для операции NTLM, что делает аутентификацию NTLM уязвимой для атак с ретрансляцией и позволяет злоумышленнику получить хеш NTLM сервера Exchange ( Пароль учетной записи компьютера Windows).
  3. Серверы Microsoft Exchange устанавливаются по умолчанию с доступом ко многим операциям с высокими привилегиями. Это означает, что злоумышленник может использовать недавно скомпрометированную учетную запись компьютера сервера Exchange для получения доступа администратора к контроллеру домена компании, что дает им возможность создавать дополнительные учетные записи по желанию.

Было подтверждено, что атака на PrivExchange работает на контроллерах домена и контроллерах домена Windows Server, работающих с полностью исправленными версиями.

Microsoft не выпустила экстренные исправления для уязвимости PrivExchange. Тем не менее, Моллема включил в свой блог несколько мер, которые системные администраторы могут развернуть, чтобы не дать злоумышленникам использовать этот нулевой день и получить контроль над серверной инфраструктурой своих компаний.

Эта статья от команды CERT / CC из Университета Карнеги-Меллона также описывает те же меры по смягчению последствий.

Уязвимость PrivExchange не следует воспринимать легкомысленно. И то, и другое легко осуществить благодаря доступности готового инструмента для проверки концепции, а также потому, что он предоставляет злоумышленникам полный контроль над ИТ-инфраструктурой Windows компании, святым Граалем большинства хакерских групп.

Читайте так же

Обзор ноутбука Microsoft Surface Особенности У Surface Laptop есть уникальный слой ткани Alcantara на внутренней палубе Производительность хороша для повседневной работы, но подключение ограничено Ноутбук Surface доступен в пяти различных конфигурациях в Индии Мы долго ждали, что Microsoft запустит свои планшеты Surface в Индии, и для ноутбука Surface Book и Surface ...
Microsoft работает над двойным дисплеем «Pocketabl... Фото: Twitter / David Breyer Особенности Секретное устройство Microsoft, получившее название Andromeda, может быть запущено в 2018 году "карманное поверхностное устройство" неоднократно появлялся в патентах Microsoft, как сообщается, экспериментирует с вводом стилуса для Andromeda Информация о секретном аппаратном устройст...
Microsoft Surface Go начинает доставку... Особенности Поверхность Go оценена в 399 долларов США (приблизительно 27 400 российских рублей) 10 июля он пошел на предварительные заказы Он начал поставки в таких странах, как США Недавно выпущенный недавно портативный и доступный по цене планшет Surface, Surface Go, теперь отправляется. Начиная с 399 долл. США (приблизительно 27 4...