Nova ranjivost pronađena je u Microsoft Exchange Server 2013, 2016 i 2019. Ova nova ranjivost naziva se PrivExchange i zapravo je nula-dnevna ranjivost.

Iskorištavajući ovu sigurnosnu rupu, napadač može steći administratorske povlastice Domena kontrolera koristeći vjerodajnice korisnika razmjene poštanskog sandučića uz pomoć jednostavnog alata Python.

Tu novu ranjivost istaknuo je istraživač Dirk-Jan Mollema na svom osobnom blogu prije tjedan dana. U svom blogu otkriva važne informacije o ranjivosti PrivExchange nula dana.

On piše da to nije jedna mana, sastoji li se od 3 komponente koje su kombinirane kako bi eskalirali pristup napadača iz bilo kojeg korisnika s poštanskim sandučićem u Administrator domena.

Ove tri mane su:

• Exchange serveri imaju (pre) visoke privilegije prema zadanim postavkama
• Autentifikacija NTLM ranjiva je na relejne napade
• Exchange ima značajku koja ga omogućuje autentifikacijom napadača s računalnim računom Exchange poslužitelja.

Prema istraživaču, cijeli napad se može izvesti pomoću dva alata pod nazivom privexchange.py i ntlmrelayx. No, isti je napad i dalje moguć ako napadaču nedostaju potrebne korisničke vjerodajnice.

U takvim okolnostima, modificirani httpattack.py može se koristiti s ntlmrelayxom za izvođenje napada iz mrežne perspektive bez ikakvih vjerodajnica.

Kako ublažiti ranjivosti Microsoft Exchange Server

Microsoft još nije predložio zakrpe koje bi popravile ovu ranjivost. Međutim, u istom postu na blogu Dirk-Jan Mollema priopćava neka ublažavanja koja se mogu primijeniti za zaštitu poslužitelja od napada.

Predložena ublažavanja su:

• Blokiranje poslužitelja razmjene u uspostavljanju odnosa s drugim radnim stanicama
• Eliminiranje ključa registra
• Implementacija SMB potpisivanja na Exchange poslužiteljima
• Uklanjanje nepotrebnih privilegija iz objekta domene Exchange
• Omogućivanje proširene zaštite za provjeru autentičnosti na krajnjim točkama Exchange u IIS, isključujući one Back Back End jer bi se time prekinuo Exchange).

Uz to možete instalirati jedno od tih antivirusnih rješenja za Microsoft Server 2013.

Napadi PrivExchange potvrđeni su na potpuno zakrpljenim verzijama Exchange i Windows poslužitelja Kontrole domena poput Exchange 2013, 2016 i 2019.