Microsoft Exchange sérülékenység

CH azonosító

CH-14538

Angol cím

Microsoft Exchange vulnerability

Felfedezés dátuma

2019.01.19.

Súlyosság

Magas

Érintett rendszerek

Exchange Server
Microsoft

Érintett verziók

Az ismertté vált PoC az alábbi verziókon került (nem gyártói) validálásra:
Exchange 2013 (CU21) on Server 2012R2, relayed to a Server 2016 DC (all fully patched)
Exchange 2016 (CU11) on Server 2016, relayed to a Server 2019 DC (all fully patched)
Exchange 2019 on Server 2019, relayed to a Server 2019 DC

Összefoglaló

A Microsoft Exchange 2013 ─ és ennél újabb verziók ─ magas kockázati besorolású sérülékenysége vált ismertté, amelyet kihasználva a támadók átvehetik az irányítást a támadott rendszer felett.

Leírás

UPDATE 2019.02.07.: A gyártó közleményt adott ki az Exchange-et érintő kiterjesztett jogosultság problémáról, amelyben javasolt workaround is szerepel. A biztonsági kitettség hátterében egyrészt az Exchange szerver NTLM authentikációját érintő paraméterezési hibák ─ Sign és Seal flagek beállításának elmaradása ─, valamint a Microsoft Exchange alapértelmezett beállításai állnak. Mindezek felhasználhatóak NTLM relay támadás végrehajtásához, és a támadók Domain Admin jogosultságot szerezhetnek az Exchange szervert tartalmazó domain tartományvezérlőjén. A sérülékenységekről és a lehetséges kihasználásról bővebb információ itt érhető el.  

Megoldás: 

A problémára jelenleg gyártói hibajavítás nem érhető el, azonban kihasználási kód (PoC) már ismertté vált. A kockázatok enyhítéséhez a fenti hivatkozásokon megkerülő megoldások érhetőek el, azzal a kiegészítő megjegyzéssel, hogy ezeket ebben a formában nem a gyártó adta közre, és alkalmazásuk előtt tesztelés szükséges.