Ang isang bagong kahinaan ay natagpuan sa Microsoft Exchange Server 2013, 2016 at 2019. Ang bagong kahinaan na ito ay tinatawag na PrivExchange at talagang isang madaling araw na kahinaan.

Ang paggamit ng butas ng seguridad na ito, ang isang magsasalakay ay maaaring makakuha ng mga pribilehiyo sa admin ng Controller ng admin gamit ang mga kredensyal ng isang gumagamit ng mail mail exchange sa tulong ng simpleng tool sa Python.

Ang bagong kahinaan na ito ay na-highlight ng isang mananaliksik na si Dirk-Jan Mollema sa kanyang personal na blog isang linggo na ang nakalilipas. Sa kanyang blog, inilalantad niya ang mahahalagang impormasyon tungkol sa kahinaan ng PrivExchange zero-day.

Sinusulat niya na hindi ito isang solong kapintasan kung binubuo ng 3 sangkap na pinagsama upang mapataas ang pag-access ng isang umaatake mula sa anumang gumagamit na may isang mailbox sa Domain Admin.

Ang tatlong bahid na ito ay:

• Ang mga Exchange Server ay mayroong (masyadong) mataas na pribilehiyo sa pamamagitan ng default
• Ang pagpapatotoo ng NTLM ay mahina laban sa mga pag-atake
• Ang Exchange ay may tampok na nagpapatunay sa isang umaatake gamit ang computer account ng Exchange server.

Ayon sa mananaliksik, ang buong pag-atake ay maaaring maisagawa gamit ang dalawang kasangkapan na pinangalanan na privexchange.py at ntlmrelayx. Gayunpaman, ang parehong pag-atake ay posible pa rin kung ang isang magsasalakay ay kulang sa mga kinakailangang kredensyal ng gumagamit.

Sa ganitong mga kalagayan, ang binagong httpattack.py ay maaaring magamit gamit ang ntlmrelayx upang maisagawa ang pag-atake mula sa isang pananaw sa network nang walang anumang mga kredensyal.

Paano mapagaan ang kahinaan ng Microsoft Exchange Server

Walang mga patch upang ayusin ang kahinaan sa zero na araw na ito ay iminungkahi ng Microsoft pa. Gayunpaman, sa parehong post sa blog, si Dirk-Jan Mollema ay nakikipag-usap sa ilang mga pagpapagaan na maaaring mailapat upang maprotektahan ang server mula sa mga pag-atake.

Ang mga iminungkahing pagpapagaan ay:

• Ang pagharang sa mga server ng palitan mula sa pagtatatag ng mga relasyon sa iba pang mga workstation
• Tinatanggal ang key ng rehistro
• Pagpapatupad ng pag-sign ng SMB sa mga server ng Exchange
• Pag-alis ng mga hindi kinakailangang pribilehiyo mula sa object ng Exchange domain
• Paganahin ang Pinalawak na Proteksyon para sa pagpapatunay sa mga pagtatapos ng Exchange sa IIS, hindi kasama ang mga Exchange Back End bago ito masisira sa Exchange).

Bilang karagdagan, maaari mong mai-install ang isa sa mga solusyon sa antivirus para sa Microsoft Server 2013.

Ang pag-atake ng PrivExchange ay nakumpirma sa ganap na naka-patched na bersyon ng Exchange at Windows server na Mga Controller ng Domain tulad ng Exchange 2013, 2016 at 2019.