Опубликован PoC-код для уязвимости в Microsoft Exchange

Платформа Microsoft Exchange содержит уязвимость повышения привилегий, которая позволяет любому владельцу почтового ящика стать администратором домена. Специалист компании Fox-IT Дирк-ян Моллема (Dirk-jan Mollema) раскрыл подробности об атаке, а также опубликовал PoC-код для уязвимости.

Процесс атаки предполагает эксплуатацию трех проблем – высоких привилегий Exchange Server, уязвимости протокола NTLM к атакам повторного воспроизведения и функции, предоставляющей атакующему с учетной записью Exchange возможность авторизации.

Основная из них, объясняет Миллема, заключается в установленных по умолчанию высоких привилегиях доменной службы Active Directory. По его словам, группа Exchange Windows Permissions обладает правом WriteDACL (право на выдачу прав) на объект Domain в Active Directory, что позволяет любому участнику группы изменять привилегии домена, в том числе на выполнение DCSync операций.

Таким образом атакующий может синхронизировать хеши паролей пользователей Active Directory и под их именем авторизоваться в любом сервисе, использующем протоколы NTLM (разработанный Microsoft протокол сетевой аутентификации) или Kerberos. Атака предусматривает использование двух инструментов privexchange.py и ntlmrelayx.py.

Моллема предложил несколько возможных мер защиты от данной атаки, в том числе понижение прав Exchange на объект Domain, включение требования цифровой подписи для LDAP, блокировку подключения серверов Exchange к произвольным портам, активацию расширенной защиты аутентификации на конечных точках Exchange, удаление ключа реестра, позволяющего осуществление атак повторного воспроизведения, а также включение цифровой подписи SMB.

В комментарии изданию The Register представители Microsoft не назвали точные сроки устранения проблемы. Вполне возможно, патч для данной уязвимости будет доступен в составе плановых обновлений безопасности в феврале нынешнего года.