В Microsoft Exchange обнаружили уязвимость 0-day \ PrivExchange

Угрозы нулевого дня, вспышки эпидемий и всё, что ещё не изучено.
Ответить
Аватара пользователя
HADD-NEELS
Сообщения: 22782
Зарегистрирован: 12 окт 2016, 18:17

В Microsoft Exchange обнаружили уязвимость 0-day \ PrivExchange

Сообщение HADD-NEELS »

В Microsoft Exchange обнаружили уязвимость 0-day \ PrivExchange

Exchange, начиная с версии 2013 и старше, подвержен уязвимости, получившей название PrivExchange. Баг позволяет атакующему повысить свои привилегии до администратора на контроллере домена, и для его эксплуатации достаточно простой PoC Python-утилиты, опубликованной ИБ-специалистами.

Детали уязвимости и вышеупомянутый PoC обнародовал в открытом доступе сотрудник компании Fox-IT Дирк-Ян Моллема (Dirk-jan Mollema). Согласно докладу специалиста, PrivExchange представляет собой не одну уязвимость, но является комбинацией сразу нескольких багов. По сути, это комбинация нескольких настроек по умолчанию и ряда механизмов, которыми может злоупотребить злоумышленник. Эксперт перечисляет обнаруженные проблемы, например, у Exchange Server слишком высокие привилегии по умолчанию, а аутентификация NTLM уязвима перед relay-атаками.

Моллема пишет, что основной проблемой здесь являются высокие привилегии Exchange по умолчанию в домене Active Directory: «группа The Exchange Windows Permissions имеет доступ WriteDacl, что позволяет любому ее участнику изменить привилегии домена, среди которых привилегии для операций DCSync». В итоге злоумышленник может синхронизировать хешированные пароли пользователей Active Directory, что позволит ему выдать себя за этих пользователей и авторизоваться в любом сервисе, использующем NTLM или Kerberos.

Инженеры Microsoft решили не выпустить для PrivExchange внеплановых патчей, и, похоже, исправления стоит ожидать не раньше февральского «вторника обновлений». В свою очередь Моллема и эксперты CERT/CC подробно описывают различные временные варианты защиты, которыми администраторы могут воспользоваться до релиза патчей.

https://xakep.ru/2019/01/29/privexchange/
Аватара пользователя
x-sis
Сообщения: 10358
Зарегистрирован: 26 фев 2014, 19:10
Откуда: Россия

Сообщение x-sis »

[QUOTE="HADD-NEELS, post: 53479, member: 2367"]у Exchange Server слишком высокие привилегии по умолчанию[/QUOTE]
Тут во многом все начинается с несколько более демократичных принципов работы ПО под управлением ОС Windows, которая многим из них слишком много позволяет, в отличие от тех же *nix систем. Этих проблем можно было бы на опережение избежать, ограничивая базовые принципы доверия ОС к устанавливаемому на неё ПО.
Ответить

Вернуться в «Новости угроз безопасности»