פגיעות חדשה נמצאה ב- Microsoft Exchange Server 2013, 2016 ו- 2019. פגיעות חדשה זו נקראת PrivExchange והיא למעשה פגיעות של יום אפס.

תוך ניצול חור אבטחה זה, תוקף יכול לזכות בהרשאות ניהול של בקר תחום באמצעות אישורים של משתמש תיבת דואר מחליפה בעזרת כלי פייתון פשוט.

את הפגיעות החדשה הזו הודגשה החוקרת דירק-יאן מולמה בבלוג האישי שלו לפני שבוע. בבלוג שלו הוא חושף מידע חשוב על פגיעות של אפס יום של PrivExchange.

הוא כותב כי אין מדובר בפגם אחד אם הוא מורכב משלושה רכיבים המשולבים כדי להסלים את הגישה של תוקף מכל משתמש עם תיבת דואר לניהול תחום.

שלושת הפגמים הללו הם:

• לשרתי Exchange יש הרשאות גבוהות (מדי) כברירת מחדל
• אימות NTLM פגיע להתקפות ממסר
• ל- Exchange תכונה ההופכת אותה לאימות לתוקף באמצעות חשבון המחשב של שרת Exchange.

לדברי החוקרת, ניתן לבצע את ההתקפה כולה בשני הכלים הנקראים privexchange.py ו- ntlmrelayx. עם זאת, אותה התקפה עדיין אפשרית אם לתוקף חסר אישורי משתמש נחוצים.

בנסיבות כאלה, ניתן להשתמש ב- httpattack.py שהשתנה באמצעות ntlmrelayx כדי לבצע את ההתקפה מנקודת מבט של רשת ללא אישורים כלשהם.

כיצד להקל על פגיעויות של Microsoft Exchange Server

מיקרוסופט טרם הציעה תיקונים לתיקון פגיעות זו של יום אפס. עם זאת, באותו פוסט בבלוג, דירק-ג'אן מולמה מעביר כמה הקלות שניתן ליישם כדי להגן על השרת מפני ההתקפות.

ההקלות המוצעות הן:

• חסימת שרתי חילופי מלהקים יחסים עם תחנות עבודה אחרות
• ביטול מפתח ההרשמה
• הטמעת חתימת SMB על שרתי Exchange
• הסרת הרשאות מיותרות מאובייקט התחום של Exchange
• הפעלת הגנה מורחבת לאימות בנקודות הקצה של Exchange ב- IIS, לא כולל נקודות אחזור של Exchange מכיוון שהדבר ישבור את Exchange).

בנוסף, באפשרותך להתקין אחד מפתרונות אנטי-וירוס אלה עבור Microsoft Server 2013.

התקפות PrivExchange אושרו בגרסאות התיקון המלאות של בקרי תחום שרתים ו- Windows כמו בקרי תחום כמו Exchange 2013, 2016 ו- 2019.