En ny sårbarhet har hittats i Microsoft Exchange Server 2013, 2016 och 2019. Denna nya sårbarhet kallas PrivExchange och är faktiskt en nolldagars sårbarhet.

Genom att utnyttja detta säkerhetshål kan en angripare få domänkontrolleradministratörsbehörighet med användarnamn för en utbytesbrevlådanvändare med hjälp av ett enkelt Python-verktyg.

Denna nya sårbarhet lyfts fram av en forskare Dirk-Jan Mollema på hans personliga blogg för en vecka sedan. I sin blogg avslöjar han viktig information om PrivExchange nolldagars sårbarhet.

Han skriver att detta inte är ett enda fel oavsett om det består av tre komponenter som kombineras för att öka tillgången till en attackerare från någon användare med en postlåda till domänadministratören.

Dessa tre brister är:

• Exchange-servrar har (för) höga privilegier som standard
• NTLM-autentisering är sårbar för reläattacker
• Exchange har en funktion som gör att den autentiseras till en angripare med datorkontot för Exchange-servern.

Enligt forskaren kan hela attacken utföras med hjälp av de två verktygen som heter privexchange.py och ntlmrelayx. Samma attack är dock fortfarande möjligt om en angripare saknar nödvändiga användaruppgifter.

Under sådana omständigheter kan modifierad httpattack.py användas med ntlmrelayx för att utföra attacken från ett nätverksperspektiv utan några referenser.

Hur man minskar Microsoft Exchange Server sårbarheter

Inga korrigeringsfiler för att fixa denna nolldagars sårbarhet har föreslagits av Microsoft ännu. I samma blogginlägg kommunicerar dock Dirk-Jan Mollema vissa begränsningar som kan tillämpas för att skydda servern från attackerna.

De föreslagna begränsningarna är:

• Blockerar utbytesserver från att upprätta relationer med andra arbetsstationer
• Eliminering av registernyckeln
• Implementera SMB-signering på Exchange-servrar
• Ta bort onödiga behörigheter från Exchange-domänobjektet
• Aktivera utökat skydd för autentisering på Exchange-slutpunkterna i IIS, exklusive Exchange-bakre ände eftersom det skulle bryta Exchange).

Dessutom kan du installera en av dessa antiviruslösningar för Microsoft Server 2013.

PrivExchange-attackerna har bekräftats på de fullständigt korrigerade versionerna av Exchange- och Windows-servrarnas domänkontrollanter som Exchange 2013, 2016 och 2019.