Die Sicherheitsanfälligkeit des Exchange-Servers verleiht Hackern Administratorrechte

Inhaltsverzeichnis:

Video: Exchange Server 2016 Roles Groups Exchange Services And Exchange Admin Center 2024

Video: Exchange Server 2016 Roles Groups Exchange Services And Exchange Admin Center 2024
Anonim

Eine neue Sicherheitsanfälligkeit wurde in Microsoft Exchange Server 2013, 2016 und 2019 ausgemacht. Diese neue Sicherheitsanfälligkeit heißt PrivExchange und ist eigentlich eine Zero-Day-Sicherheitsanfälligkeit.

Durch die Ausnutzung dieser Sicherheitslücke kann ein Angreifer mithilfe eines einfachen Python-Tools Administratorrechte für Domänencontroller mithilfe der Anmeldeinformationen eines Exchange-Postfachbenutzers erlangen.

Diese neue Sicherheitsanfälligkeit wurde vor einer Woche von einem Forscher, Dirk-Jan Mollema, in seinem persönlichen Blog hervorgehoben. In seinem Blog enthüllt er wichtige Informationen zur Zero-Day-Sicherheitsanfälligkeit von PrivExchange.

Er schreibt, dass dies kein einzelner Fehler ist, der aus drei Komponenten besteht, die kombiniert werden, um den Zugriff eines Angreifers von einem beliebigen Benutzer mit einem Postfach auf den Domänenadministrator zu eskalieren.

Diese drei Mängel sind:

  • Exchange Server verfügen standardmäßig über (zu) hohe Berechtigungen
  • Die NTLM-Authentifizierung ist anfällig für Relay-Angriffe
  • Exchange verfügt über eine Funktion, mit der es sich bei einem Angreifer mit dem Computerkonto des Exchange-Servers authentifizieren kann.

Laut den Forschern kann der gesamte Angriff mit den beiden Tools privexchange.py und ntlmrelayx ausgeführt werden. Der gleiche Angriff ist jedoch weiterhin möglich, wenn einem Angreifer die erforderlichen Benutzeranmeldeinformationen fehlen.

Unter solchen Umständen kann die geänderte Datei httpattack.py mit dem Befehl ntlmrelayx verwendet werden, um den Angriff aus Netzwerksicht ohne Anmeldeinformationen auszuführen.

So verringern Sie Microsoft Exchange Server-Sicherheitsanfälligkeiten

Bisher wurden von Microsoft keine Patches zur Behebung dieser Zero-Day-Sicherheitsanfälligkeit vorgeschlagen. In demselben Blogbeitrag gibt Dirk-Jan Mollema jedoch einige Abhilfemaßnahmen bekannt, mit denen der Server vor Angriffen geschützt werden kann.

Die vorgeschlagenen Abhilfemaßnahmen sind:

  • Verhindern, dass Exchange-Server Beziehungen zu anderen Arbeitsstationen herstellen
  • Beseitigen des Registrierungsschlüssels
  • Implementieren der SMB-Signatur auf Exchange-Servern
  • Entfernen unnötiger Berechtigungen aus dem Exchange-Domänenobjekt
  • Aktivieren des erweiterten Schutzes für die Authentifizierung auf den Exchange-Endpunkten in IIS, mit Ausnahme der Exchange-Back-End-Endpunkte, da dies Exchange beschädigen würde.

Darüber hinaus können Sie eine dieser Antivirenlösungen für Microsoft Server 2013 installieren.

Die PrivExchange-Angriffe wurden auf vollständig gepatchten Versionen von Exchange- und Windows-Serverdomänencontrollern wie Exchange 2013, 2016 und 2019 bestätigt.

Die Sicherheitsanfälligkeit des Exchange-Servers verleiht Hackern Administratorrechte