La vulnerabilidad del servidor de MS Exchange otorga privilegios de administrador a los hackers

Tabla de contenido:

Video: Cómo explotar la vulnerabilidad Zerologon 2024

Video: Cómo explotar la vulnerabilidad Zerologon 2024
Anonim

Se ha encontrado una nueva vulnerabilidad en Microsoft Exchange Server 2013, 2016 y 2019. Esta nueva vulnerabilidad se llama PrivExchange y en realidad es una vulnerabilidad de día cero.

Explotando este agujero de seguridad, un atacante puede obtener privilegios de administrador del controlador de dominio utilizando las credenciales de un usuario de buzón de intercambio con la ayuda de la herramienta Python simple.

Esta nueva vulnerabilidad fue destacada por un investigador Dirk-Jan Mollema en su blog personal hace una semana. En su blog, revela información importante sobre la vulnerabilidad de día cero de PrivExchange.

Él escribe que este no es un solo defecto, ya sea que se componga de 3 componentes que se combinan para escalar el acceso de un atacante desde cualquier usuario con un buzón a Administrador de dominio.

Estos tres defectos son:

  • Los servidores de Exchange tienen (también) altos privilegios por defecto
  • La autenticación NTLM es vulnerable a ataques de retransmisión
  • Exchange tiene una característica que lo hace autenticar a un atacante con la cuenta de la computadora del servidor de Exchange.

Según el investigador, todo el ataque se puede realizar utilizando las dos herramientas llamadas privexchange.py y ntlmrelayx. Sin embargo, el mismo ataque aún es posible si un atacante carece de las credenciales de usuario necesarias.

En tales circunstancias, se puede utilizar httpattack.py modificado con ntlmrelayx para realizar el ataque desde una perspectiva de red sin credenciales.

Cómo mitigar las vulnerabilidades de Microsoft Exchange Server

Microsoft aún no ha propuesto parches para corregir esta vulnerabilidad de día cero. Sin embargo, en la misma publicación de blog, Dirk-Jan Mollema comunica algunas mitigaciones que se pueden aplicar para proteger el servidor de los ataques.

Las mitigaciones propuestas son:

  • Impidiendo que los servidores de intercambio establezcan relaciones con otras estaciones de trabajo
  • Eliminar la clave de registro
  • Implementación de firma SMB en servidores de Exchange
  • Eliminar privilegios innecesarios del objeto de dominio de Exchange
  • Habilitación de la protección extendida para la autenticación en los puntos finales de Exchange en IIS, excluyendo los de Exchange Back End porque esto rompería Exchange).

Además, puede instalar una de estas soluciones antivirus para Microsoft Server 2013.

Los ataques de PrivExchange se han confirmado en las versiones completamente parcheadas de los controladores de dominio de servidores Exchange y Windows como Exchange 2013, 2016 y 2019.

La vulnerabilidad del servidor de MS Exchange otorga privilegios de administrador a los hackers