Vulnerabilidade do Microsoft Exchange permite que invasores obtenham privilégios de administrador de domínio

07/02/2019 mindsecblog Notícias 5

Vulnerabilidade do Microsoft Exchange permite que invasores obtenham privilégios de administrador de domínio. Exchange 2013 e posteriores estão vulneráveis 90% das organizações .

Na maioria das organizações que usam o Active Directory e o Exchange, os servidores Exchange têm privilégios tão altos que o fato de ser um Administrador em um servidor Exchange é suficiente para escalar para o Administrador do Domínio.

O pesquisador de segurança Dirk-jan Mollema, da Fox-IT, com base em Holanda, descrevendo o novo exploit em um post em seu blog, que observou em um blog da ZDI, onde eles detalham uma maneira de permitir que o Exchange autentique para invasores usando o NTLM sobre HTTP.

Moleema diz que isso pode ser combinado com um ataque de retransmissão NTLM para escalar de qualquer usuário com uma caixa de correio para o administrador do domínio, provavelmente em 90% das organizações que usam o Exchange.

Esse ataque é possível por padrão e, embora não haja patches disponíveis no momento, há atenuações que podem ser aplicadas para impedir esse escalonamento de privilégios.

No Blog Mollema diz que é necessário combinar 3 componentes para a escalada de qualquer usuário com uma caixa de correio para o acesso de Administrador do Domínio:

Servidores Exchange que têm privilégios altos por padrão;
A autenticação NTLM que é vulnerável a ataques de retransmissão;
O Exchange tem um recurso que o faz autenticar um invasor com a conta de computador do servidor Exchange

Fonte Mollema Blog

Mollema também lançou uma ferramenta de prova de conceito apelidada de “PrivExchange“, disponível no GitHUb, demonstrando como o ataque funciona.

As organizações podem proteger contra o ataque removendo os privilégios que o Exchange tem sobre o objeto Domain, desabilitando certos recursos nele, permitindo autenticação forte e outras mitigações, escreveu Mollema.

“Isso é algo de que as pessoas tenham medo“, diz Will Dormann, analista sênior de vulnerabilidade da Divisão CERT do Instituto de Engenharia de Software da Carnegie Mellon University, que emitiu um comunicado sobre a ameaça.

“Se você é uma empresa que tem 1.000 computadores, tudo que o atacante precisa fazer é ganhar o controle de um que dê acesso a uma caixa de correio do Exchange“, diz ele.

Um atacante com uma posição segura em uma rede Windows pode usar a exploração publicamente disponível para obter direitos de administração de domínio, ele alerta. “O controlador de domínio é a chave para todo o reino“, diz Dormann. “Alguém que ganha acesso ao controlador de domínio possui toda a rede.”

A recomendação do CERT identificou o problema como tendo a ver com a falha do Microsoft Exchange 2013 e versões mais recentes para definir os chamados sinalizadores de sinalização e sinalização no tráfego de autenticação NTLM. Essa falha pode permitir que um invasor remoto obtenha os privilégios do servidor Exchange, relata o comunicado.

A vulnerabilidade não afeta o Exchange 2010 porque essa versão usou a assinatura NTLM. Portanto, não é possível que um invasor retransmita credenciais de autenticação, como é possível com o Exchange 2013 e posterior, observa ele. “Parece, na minha opinião, que isso é uma regressão se você tem uma versão mais antiga que não é afetada pelo ataque, mas versões mais novas são.“

A Microsoft forneceu instruções detalhadas sobre como mitigar o problema de escalonamento de privilégios e as organizações devem segui-las, diz Gorenc.

As organizações devem remover quaisquer privilégios que o Exchange tenha no objeto de domínio ou podem desativar o recurso PushSubscriptionRequest para atenuar a ameaça.

O Mollema também listou várias recomendações, incluindo a ativação da assinatura LDAP e o bloqueio de servidores Exchange de fazer conexões com estações de trabalho em portas arbitrárias..

Veja o artigo completo de Mollema em sue blog.