Перейти к содержимому. | Перейти к навигации

Персональные инструменты
Вход Регистрация
Вы здесь: Главная НОВОСТНАЯ ЛЕНТА Microsoft подтверждает серьезную уязвимость «PrivExchange»
Protectiva Compliance Manager
 

Microsoft подтверждает серьезную уязвимость «PrivExchange»

Операции с документом
Опубликовано: 09-02-2019 01:11
В Microsoft Exchange существует недостаток повышенных привилегий, который позволяет удаленному злоумышленнику выдавать себя за администратора.

Microsoft признала, что недостаток привилегированных прав в Exchange Server мог позволить удаленному злоумышленнику с простой учетной записью почтового ящика получить права администратора.

 Во вторник были выпущены как рекомендации Microsoft, так и предупреждение US-CERT, предупреждающие пользователей об уязвимости повышения привилегий, получившей название «PrivExchange», которая имеет рейтинг CVSS «высокой серьезности» 8,3. Недостаток существует из-за идеального набора настроек по умолчанию в Microsoft Exchange Server и почтовом сервере и сервере календаря, которые работают в операционных системах Windows Server. По словам Microsoft, это влияет на Exchange 2013 и более новые версии.

В настоящее время Microsoft не выпустила патч для исправления ошибки. Тем не менее, есть обходные решения.

Совещание приходит через несколько недель после  того, как было выпущено подтверждение концепции, в котором рассказывается, как обычный почтовый пользователь Exchange может использовать два инструмента на основе Python - privexchange.py и ntlmrelayx.py - чтобы в конечном итоге получить привилегии администратора домена. Администраторы имеют доступ ко всей организации Exchange Server и могут выполнять практически любые задачи для любого объекта Exchange Server.

« Для того, чтобы воспользоваться этой уязвимостью, злоумышленник должен направить запрос на аутентификацию на сервере Microsoft Exchange Server, позволяя тем самым олицетворение другого пользователя Exchange» сказал Microsoft в вторник.

PrivExchange был впервые описан в доказательстве концепции в публикации от 21 января под названием «Злоупотребление Exchange: один вызов API от Администратора домена» Дирком-Джаном Моллема, исследователем безопасности из Fox-IT.

По словам Моллемы, для доказательства концепции используются преимущества нескольких стандартных настроек Exchange. Во-первых, Exchange имеет функцию (называемую веб-службами Exchange или EWS), которая, по существу, позволяет ему проходить проверку подлинности с помощью учетной записи компьютера, контролируемой злоумышленником, с сервера Exchange.

Таким образом, злоумышленники могут установить параметры EWS (PushSubscription EWS Call) для аутентификации на сервере Exchange. Затем сервер аутентифицирует учетную запись через NTML. NT LAN Manager (NTLM) - это набор протоколов безопасности Microsoft, который обеспечивает аутентификацию и является преемником протокола аутентификации в Microsoft LAN Manager (LANMAN).

В другом задании по умолчанию Exchange не удается установить флаги подписи и запечатывания для трафика аутентификации NTLM. Следовательно, злоумышленник может выполнить атаку ретрансляции NTLM, где он передает проверку подлинности NTLM другим компьютерам в сети, в частности, администратору. Поскольку Exchange не может пометить трафик NTLM, он не распознает это.

Наконец, серверы имеют доступ к процессам с высокими привилегиями по умолчанию, в том числе к контроллеру домена. С правами администратора злоумышленник может получить доступ к контроллеру домена, который предоставляет им множество вредоносных возможностей.

В то время как Microsoft заявила, что запланированное обновление находится в разработке, в настоящее время не существует решений для устранения этой ошибки. Однако, если пользователи Exchange считают, что их системы подвержены высокому риску, существует обходной путь.

Потенциально затронутые пользователи будут иметь развертывания OnPrem, поскольку Exchange Online не затрагивается; как и в случае систем с NTLM, поскольку на системы, которые отключили NTLM, это не влияет.

Чтобы устранить эту уязвимость, пользователи могут по существу определить и применить «Политику регулирования» для подписок EWSMaxSubscription, чтобы иметь нулевое значение. Параметр EwsMaxSubscription указывает максимальное количество активных «push и pull» подписок, которое пользователь веб-служб Exchange может одновременно иметь на указанном сервере Exchange - так что это ограничит число до нуля и заблокирует сервер Exchange от отправки любого уведомления. ,

«Это не позволит серверу Exchange отправлять уведомления EWS, а также не позволит клиентским приложениям, которые зависят от уведомлений EWS, нормально работать», - заявляет Microsoft. «Примеры уязвимых приложений включают Outlook для Mac, Skype для бизнеса, приложения LOB, зависящие от уведомлений, и некоторые собственные почтовые клиенты iOS».

Microsoft не ответила на запрос комментариев от Threatpost о предстоящем исправлении.

Подробнее: https://threatpost.com/microsoft-confirms-serious-privexchange-vulnerability/141553/

Comments (0)

Как стать участником |  Что может участник  |  Как работать с порталом  |  Реклама |  Авторские права  |  Контакты  |  Конкурсы  |  RSS  |  Форум
©2003 - 2019 GlobalTrust
Рейтинг@Mail.ru Rambler's Top100 Yandex