S'ha trobat una nova vulnerabilitat a Microsoft Exchange Server 2013, 2016 i 2019. Aquesta nova vulnerabilitat s'anomena PrivExchange i en realitat és una vulnerabilitat d'un dia zero.

Explotant aquest forat de seguretat, un atacant pot obtenir privilegis d’administració de dominis del controlador de domini mitjançant les credencials d’un usuari de bústies d’intercanvi amb l’ajuda d’eines simples Python.

Aquesta nova vulnerabilitat va destacar una investigadora Dirk-Jan Mollema al seu bloc personal fa una setmana. Al seu bloc, divulga informació important sobre la vulnerabilitat de PrivExchange en un dia zero.

Escriu que no es tracta d’un defecte únic, ja que consta de 3 components que es combinen per ampliar l’accés d’un atacant des de qualsevol usuari amb una bústia de correu a l’Administrador del domini.

Aquests tres defectes són:

• Els servidors d'intercanvi tenen (massa) privilegis elevats per defecte
• L’autenticació NTLM és vulnerable als atacs de relleus
• Exchange té una característica que el fa autenticar a un atacant amb el compte informàtic del servidor Exchange.

Segons l'investigador, tot l'atac es pot realitzar mitjançant les dues eines anomenades privexchange.py i ntlmrelayx. Tot i això, el mateix atac encara és possible si un atacant no té les credencials necessàries per als usuaris.

En aquestes circumstàncies, httpattack.py modificat es pot utilitzar amb ntlmrelayx per realitzar l'atac des de la perspectiva de la xarxa sense cap credencial.

Com pal·liar les vulnerabilitats del Microsoft Exchange Server

Microsoft encara no ha proposat cap pegat per solucionar aquesta vulnerabilitat del dia zero. Tot i això, a la mateixa publicació del bloc, Dirk-Jan Mollema comunica algunes mitigacions que es poden aplicar per protegir el servidor dels atacs.

Les mitigacions proposades són:

• Evita que els servidors d'intercanvi estableixin relacions amb altres estacions de treball
• Eliminació de la clau de registre
• Implantació de la signatura SMB als servidors Exchange
• Eliminació de privilegis innecessaris de l'objecte de domini Exchange
• Habilita la protecció estesa per a l’autenticació en els punts finals d’Intercanvi a IIS, excloent els de la versió posterior de Exchange, perquè això interrompria Exchange).

A més, podeu instal·lar una d'aquestes solucions antivirus per a Microsoft Server 2013.

Els atacs PrivExchange s’han confirmat en les versions completament pegades dels servidors Exchange i Windows Controladors de domini com Exchange 2013, 2016 i 2019.