Microsoft Exchange sérülékenység

CH azonosító

CH-14538

Angol cím

Microsoft Exchange vulnerability

Felfedezés dátuma

2019.01.19.

Súlyosság

Magas

Érintett rendszerek

Exchange Server
Microsoft

Érintett verziók

Az ismertté vált PoC az alábbi verziókon került (nem gyártói) validálásra:
Exchange 2013 (CU21) on Server 2012R2, relayed to a Server 2016 DC (all fully patched)
Exchange 2016 (CU11) on Server 2016, relayed to a Server 2019 DC (all fully patched)
Exchange 2019 on Server 2019, relayed to a Server 2019 DC

Összefoglaló

A Microsoft Exchange 2013 ─ és ennél újabb verziók ─ magas kockázati besorolású sérülékenysége vált ismertté, amelyet kihasználva a támadók átvehetik az irányítást a támadott rendszer felett.

Leírás

UPDATE 2019.02.07.:

A gyártó közleményt adott ki az Exchange-et érintő kiterjesztett jogosultság problémáról, amelyben javasolt workaround is szerepel.

A biztonsági kitettség hátterében egyrészt az Exchange szerver NTLM authentikációját érintő paraméterezési hibák ─ Sign és Seal flagek beállításának elmaradása ─, valamint a Microsoft Exchange alapértelmezett beállításai állnak. Mindezek felhasználhatóak NTLM relay támadás végrehajtásához, és a támadók Domain Admin jogosultságot szerezhetnek az Exchange szervert tartalmazó domain tartományvezérlőjén.

A sérülékenységekről és a lehetséges kihasználásról bővebb információ itt érhető el.

 

Megoldás: 

A problémára jelenleg gyártói hibajavítás nem érhető el, azonban kihasználási kód (PoC) már ismertté vált.

A kockázatok enyhítéséhez a fenti hivatkozásokon megkerülő megoldások érhetőek el, azzal a kiegészítő megjegyzéssel, hogy ezeket ebben a formában nem a gyártó adta közre, és alkalmazásuk előtt tesztelés szükséges.


Legfrissebb sérülékenységek
CVE-2024-20767 – Adobe ColdFusion Improper Access Control sebezhetősége
CVE-2024-55956 – Cleo Multiple Products Unauthenticated File Upload sebezhetősége
CVE-2024-50623 – Cleo Multiple Products Unrestricted File Upload sebezhetősége
CVE-2024-49138 – Windows Common Log File System Driver Elevation of Privilege sebezhetősége
CVE-2024-11639 – Ivanti CSA sérülékenysége
CVE-2024-42449 – Veeam Service Provider Console sérülékenysége
CVE-2024-42448 – Veeam Service Provider Console sérülékenysége
CVE-2024-42327 – Zabbix SQLi sérülékenysége
CVE-2024-42057 – Zyxel ATP szériás tűzfalak sérülékenysége
CVE-2024-11236 – PHP memóriakezelési sérülékenysége
Tovább a sérülékenységekhez »