Nova ranljivost je bila najdena v Microsoft Exchange Server 2013, 2016 in 2019. Ta nova ranljivost se imenuje PrivExchange in je dejansko ranljivost brez dneva.

Z izkoriščanjem te varnostne luknje lahko napadalec s pomočjo preprostega orodja Python pridobi skrbniške privilegije skrbnika domene z uporabo poverilnic uporabnika menjalniškega nabiralnika.

To novo ranljivost je pred tednom dni na svojem osebnem blogu izpostavil raziskovalec Dirk-Jan Mollema. V svojem blogu razkriva pomembne informacije o ranljivosti PrivExchange nič dneva.

Piše, da to ni edina napaka, ne glede na to, ali je sestavljena iz treh komponent, ki so združene, da bi napadalcu dostop do uporabnika s poštnim nabiralnikom povečal dostop do domene.

Te tri pomanjkljivosti so:

• Strežniki Exchange imajo privzeto (pre) visoke privilegije
• Preverjanje pristnosti NTLM je občutljivo na relejne napade
• Exchange ima funkcijo, zaradi katere lahko napadalcu omogoči pristnost z računalniškim računom strežnika Exchange.

Po mnenju raziskovalca je celoten napad mogoče izvesti z dvema orodjema, imenovanima privexchange.py in ntlmrelayx. Vendar pa je isti napad še vedno mogoč, če napadalec nima potrebnih uporabniških poverilnic.

V takšnih okoliščinah lahko spremenjeni httpattack.py z ntlmrelayxom uporabite napad za izvedbo napada z vidika omrežja brez kakršnih koli poverilnic.

Kako omiliti ranljivosti Microsoftovega strežnika

Microsoft še ni predlagal nobenih popravkov, ki bi odpravil to ničelno ranljivost. Vendar pa v isti objavi na spletnem dnevniku Dirk-Jan Mollema sporoči nekatere omilitve, ki jih je mogoče uporabiti za zaščito strežnika pred napadi.

Predlagane omilitve so:

• Blokiranje izmenjalnih strežnikov pri vzpostavljanju odnosov z drugimi delovnimi postajami
• Odprava registrskega ključa
• Izvajanje SMB podpisovanja na strežnikih Exchange
• Odstranjevanje nepotrebnih privilegijev iz predmeta domene Exchange
• Omogočanje razširjene zaščite za preverjanje pristnosti na končnih točkah Exchange v IIS, razen tistih Back Back End, ker bi to prekinilo Exchange).

Poleg tega lahko za Microsoft Server 2013 namestite eno od teh protivirusnih rešitev.

Napadi PrivExchange so bili potrjeni na popolnoma zakrpanih različicah Exchange in Windows strežnikov Upravljalci domen, kot so Exchange 2013, 2016 in 2019.