Microsoft Exchange邮件服务器目前可能正在面临权限升级攻击的威胁,该攻击允许任何拥有邮箱的用户成为域管理员。
小心了,你的Microsoft Exchange邮件服务器目前可能正在面临权限升级攻击的威胁,该攻击允许任何拥有邮箱的用户成为域管理员。
周四,荷兰Fox-IT的安全研究员Dirk-jan Mollema发布了概念验证代码和攻击解释,其中涉及三个问题。
根据Mollema,主要问题是Exchange在Active Directory域中默认具有高权限。
“Exchange Windows Permissions组可以WriteDacl访问Active Directory中的Domain对象,该对象允许该组的任何成员修改域权限,其中包括执行DCSync操作的权限,”他在帖子中解释道。
这允许攻击者通过域控制器操作同步Active Directory用户的散列密码。访问这些散列密码允许攻击者模拟用户并使用NTLM(Microsoft身份验证协议)或该域内的Kerberos身份验证对任何服务进行身份验证。
由于时区差异以及涉及媒体处理人员的需要,Mollema无法立即讨论他的工作。
攻击依赖于两个基于Python的工具:privexchange.py和ntlmrelayx.py。它已经在Windows Server 2012 R2上的Exchange 2013(CU21)上进行了测试,在Windows Server 2016上转发到(完全修补)Windows Server 2016 DC和Exchange 2016(CU11),并转发到Server 2019 DC,再次完全修补。
Mollema使用NTLM表示,可以将连接到攻击者计算机时发生的自动Windows身份验证传输到网络上的其他计算机。
然后如何让Exchange验证攻击者?Mollema指向一位ZDI研究人员,他发现了一种PushSubscription使用反射攻击通过Exchange API使用HTTP上的任意URL获取Exchange身份验证的方法。
如果此技术用于对LDAP 执行中继攻击,则利用Exchange的高默认权限,攻击者可以获得DCSync权限。
Mollema在他的帖子中描述了几次潜在的攻击缓解措施。其中包括:减少Domain对象的Exchange权限; 启用LDAP签名和通道绑定; 阻止Exchange服务器连接到任意端口; 在IIS中的Exchange端点上启用身份验证的扩展保护; 删除允许中继的注册表项; 并强制执行SMB签名。
在通过电子邮件发送给The Register的声明中,微软避免评论Mollema描述的特定漏洞,但其腼腆,无内容的回复的措辞表明该公司可能会在2月份发布修复程序。
微软发言人表示:“微软对安全性的坚定承诺以及尽快调查和主动更新受影响设备的良好记录。我们的标准政策是在每个月的第二个星期二更新星期二发布安全更新。
声明: 此文观点不代表本站立场;转载须要保留原文链接;版权疑问请联系我们。
