Et nytt sårbarhet er funnet i Microsoft Exchange Server 2013, 2016 og 2019. Dette nye sikkerhetsproblemet heter PrivExchange og er faktisk et nulldagers sårbarhet.

Ved å utnytte dette sikkerhetshullet kan en angriper få administratorrettigheter for Domain Controller ved å bruke legitimasjonen til en utvekslingspostkassebruker ved hjelp av enkle Python-verktøy.

Denne nye sårbarheten ble fremhevet av en forsker Dirk-Jan Mollema på hans personlige blogg for en uke siden. I bloggen sin avslører han viktig informasjon om PrivExchange null-dagers sårbarhet.

Han skriver at dette ikke er en eneste feil enten det består av tre komponenter som er kombinert for å eskalere tilgangen til en angriper fra en hvilken som helst bruker med en postkasse til Domain Admin.

Disse tre feilene er:

• Exchange-servere har (for) høye privilegier som standard
• NTLM-godkjenning er sårbar for stafettangrep
• Exchange har en funksjon som gjør at den autentiseres til en angriper med datakontoen til Exchange-serveren.

I følge forskeren kan hele angrepet utføres ved hjelp av de to verktøyene som heter privexchange.py og ntlmrelayx. Det samme angrepet er imidlertid fortsatt mulig hvis en angriper mangler nødvendige brukeropplysninger.

Under slike omstendigheter kan modifiserte httpattack.py brukes med ntlmrelayx for å utføre angrepet fra et nettverksperspektiv uten noen legitimasjon.

Hvordan avbøte sikkerhetsproblemer i Microsoft Exchange Server

Ingen korrigeringer for å fikse dette nulldagers sårbarheten er foreslått av Microsoft ennå. I samme blogginnlegg kommuniserer imidlertid Dirk-Jan Mollema noen avbøtninger som kan brukes for å beskytte serveren mot angrepene.

De foreslåtte avbøtningene er:

• Blokkerer utvekslingsservere fra å etablere forbindelser med andre arbeidsstasjoner
• Eliminering av registernøkkelen
• Implementering av SMB-signering på Exchange-servere
• Fjerning av unødvendige rettigheter fra Exchange-domeneobjektet
• Aktivere utvidet beskyttelse for autentisering på Exchange-endepunktene i IIS, unntatt Exchange Back End, fordi dette ville ødelegge Exchange).

I tillegg kan du installere en av disse antivirusløsningene for Microsoft Server 2013.

PrivExchange-angrepene er bekreftet på de fullstendig oppdaterte versjonene av Exchange- og Windows-serverne Domenekontrollere som Exchange 2013, 2016 og 2019.