Nová chyba zabezpečení byla nalezena na serverech Microsoft Exchange Server 2013, 2016 a 2019. Tato nová chyba zabezpečení se nazývá PrivExchange a ve skutečnosti je nulovou chybou zabezpečení.

Při využití této bezpečnostní díry může útočník získat administrátorská oprávnění správce domény pomocí pověření uživatele výměnné poštovní schránky pomocí jednoduchého nástroje Python.

Tuto novou chybu zabezpečení zdůraznil vědec Dirk-Jan Mollema na svém osobním blogu před týdnem. Ve svém blogu zveřejňuje důležité informace o zranitelnosti aplikace PrivExchange v den nuly.

Píše, že se nejedná o jedinou vadu, ať už se skládá ze 3 komponent, které jsou kombinovány, aby eskalovaly přístup útočníka z libovolného uživatele s poštovní schránkou k Domain Admin.

Tyto tři nedostatky jsou:

• Exchange servery mají ve výchozím nastavení (příliš) vysoká oprávnění
• Ověřování NTLM je náchylné k přenosovým útokům
• Exchange má funkci, díky níž se autentizuje útočníkem pomocí počítačového účtu Exchange serveru.

Podle výzkumníka lze celý útok provést pomocí dvou nástrojů s názvem privexchange.py a ntlmrelayx. Stejný útok je však stále možný, pokud útočník postrádá nezbytná pověření uživatele.

Za takových okolností lze s ntlmrelayxem použít modifikovaný httpattack.py k provedení útoku ze síťové perspektivy bez jakýchkoli pověření.

Jak zmírnit zranitelnosti serveru Microsoft Exchange Server

Společnost Microsoft dosud nenavrhla žádné opravy, které by opravily tuto chybu zabezpečení v nulový den. Ve stejném blogovém příspěvku však Dirk-Jan Mollema sděluje některá zmírnění, která lze použít k ochraně serveru před útoky.

Navrhované zmírnění jsou:

• Blokování výměnných serverů před navázáním vztahů s jinými pracovními stanicemi
• Eliminace klíče registru
• Implementace podepisování SMB na serverech Exchange
• Odebrání nepotřebných oprávnění z objektu domény Exchange
• Povolení rozšířené ochrany pro ověřování v koncových bodech serveru Exchange ve službě IIS s výjimkou koncových bodů serveru Exchange, protože by tím došlo k poškození serveru Exchange).

Dále můžete nainstalovat jedno z těchto antivirových řešení pro server Microsoft Server 2013.

Útoky PrivExchange byly potvrzeny na plně opravených verzích doménových řadičů Exchange a Windows, jako jsou Exchange 2013, 2016 a 2019.