Процесс атаки предполагает эксплуатацию трех проблем – высоких привилегий Exchange Server, уязвимости протокола NTLM к атакам повторного воспроизведения и функции, предоставляющей атакующему с учетной записью Exchange возможность авторизации.
Основная из них, объясняет Миллема, заключается в установленных по умолчанию высоких привилегиях доменной службы Active Directory. По его словам, группа Exchange Windows Permissions обладает правом WriteDACL (право на выдачу прав) на объект Domain в Active Directory, что позволяет любому участнику группы изменять привилегии домена, в том числе на выполнение DCSync операций.
Таким образом атакующий может синхронизировать хеши паролей пользователей Active Directory и под их именем авторизоваться в любом сервисе, использующем протоколы NTLM (разработанный Microsoft протокол сетевой аутентификации) или Kerberos. Атака предусматривает использование двух инструментов privexchange.py и ntlmrelayx.py.
Моллема предложил несколько возможных мер защиты от данной атаки, в том числе понижение прав Exchange на объект Domain, включение требования цифровой подписи для LDAP, блокировку подключения серверов Exchange к произвольным портам, активацию расширенной защиты аутентификации на конечных точках Exchange, удаление ключа реестра, позволяющего осуществление атак повторного воспроизведения, а также включение цифровой подписи SMB.
В комментарии изданию The Register представители Microsoft не назвали точные сроки устранения проблемы. Вполне возможно, патч для данной уязвимости будет доступен в составе плановых обновлений безопасности в феврале нынешнего года.