Er is een nieuwe kwetsbaarheid gevonden in Microsoft Exchange Server 2013, 2016 en 2019. Deze nieuwe kwetsbaarheid wordt PrivExchange genoemd en is eigenlijk een zero-day kwetsbaarheid.

Door gebruik te maken van dit beveiligingslek, kan een aanvaller de beheerdersrechten van de domeincontroller verkrijgen met behulp van de referenties van een gebruiker van een Exchange-mailbox met behulp van de eenvoudige Python-tool.

Deze nieuwe kwetsbaarheid werd een week geleden benadrukt door een onderzoeker Dirk-Jan Mollema op zijn persoonlijke blog. In zijn blog onthult hij belangrijke informatie over zero-day kwetsbaarheid van PrivExchange.

Hij schrijft dat dit geen enkele fout is, of het nu bestaat uit 3 componenten die worden gecombineerd om de toegang van een aanvaller van elke gebruiker met een mailbox naar domeinbeheerder te escaleren.

Deze drie fouten zijn:

• Exchange-servers hebben standaard (te) hoge rechten
• NTLM-authenticatie is kwetsbaar voor relay-aanvallen
• Exchange heeft een functie waarmee het wordt geverifieerd bij een aanvaller met het computeraccount van de Exchange-server.

Volgens de onderzoeker kan de hele aanval worden uitgevoerd met behulp van de twee tools genaamd privexchange.py en ntlmrelayx. Dezelfde aanval is echter nog steeds mogelijk als een aanvaller de benodigde gebruikersreferenties mist.

In dergelijke omstandigheden kan gewijzigd httpattack.py worden gebruikt met de ntlmrelayx om de aanval uit te voeren vanuit een netwerkperspectief zonder enige referenties.

Hoe Microsoft Exchange Server-kwetsbaarheden te verminderen

Microsoft heeft nog geen patches voorgesteld om deze zero-day kwetsbaarheid op te lossen. In dezelfde blogpost communiceert Dirk-Jan Mollema echter enkele beperkende maatregelen die kunnen worden toegepast om de server tegen de aanvallen te beschermen.

De voorgestelde mitigaties zijn:

• Het blokkeren van uitwisselingsservers om relaties met andere werkstations aan te gaan
• De registersleutel verwijderen
• SMB-ondertekening implementeren op Exchange-servers
• Onnodige rechten verwijderen uit het Exchange-domeinobject
• Uitgebreide beveiliging inschakelen voor verificatie op de Exchange-eindpunten in IIS, uitgezonderd Exchange Back End-eindpunten omdat dit Exchange zou breken).

Bovendien kunt u een van deze antivirusoplossingen voor Microsoft Server 2013 installeren.

De PrivExchange-aanvallen zijn bevestigd op de volledig gepatchte versies van Exchange- en Windows-servers Domain Controllers zoals Exchange 2013, 2016 en 2019.