Kerentanan baru telah ditemui di Microsoft Exchange Server 2013, 2016 dan 2019. Kerentanan baru ini dipanggil PrivExchange dan sebenarnya adalah kerentanan sifar hari.

Memanfaatkan lubang keselamatan ini, penyerang boleh mendapatkan keistimewaan admin Controller Domain menggunakan kelayakan pengguna peti mel pertukaran dengan bantuan alat Python yang mudah.

Kerentanan baru ini ditonjolkan oleh seorang penyelidik Dirk-Jan Mollema di blog peribadinya seminggu yang lalu. Di dalam blognya, beliau mendedahkan maklumat penting mengenai kekurangan sifar hari ini.

Beliau menulis bahawa ini bukan satu kecacatan sama ada terdiri daripada 3 komponen yang digabungkan untuk meningkatkan akses penyerang dari mana-mana pengguna dengan peti mel ke Admin Domain.

Tiga kelemahan ini ialah:

• Server Exchange mempunyai (terlalu) keistimewaan yang tinggi secara lalai
• Pengesahan NTLM terdedah kepada serangan geganti
• Exchange mempunyai ciri yang menjadikannya mengesahkan kepada penyerang dengan akaun komputer pelayan Exchange.

Menurut penyelidik, serangan keseluruhan boleh dilakukan menggunakan dua alat bernama privexchange.py dan ntlmrelayx. Walau bagaimanapun, serangan yang sama masih mungkin jika penyerang tidak mempunyai kelayakan pengguna yang diperlukan.

Dalam keadaan sedemikian, httpattack.py diubahsuaikan boleh digunakan dengan ntlmrelayx untuk melakukan serangan dari perspektif rangkaian tanpa sebarang kelayakan.

Bagaimana untuk mengurangkan kelemahan Microsoft Exchange Server

Tiada patch untuk menetapkan kerentanan sifar hari ini telah dicadangkan oleh Microsoft. Walau bagaimanapun, dalam catatan blog yang sama, Dirk-Jan Mollema berkomunikasi beberapa mitigasi yang boleh digunakan untuk melindungi pelayan dari serangan.

Mitigasi yang dicadangkan adalah:

• Menyekat pelayan pertukaran daripada mewujudkan hubungan dengan stesen kerja lain
• Menghapuskan kunci pendaftaran
• Melaksanakan tandatangan SMB pada pelayan Exchange
• Mengalih keluar keistimewaan yang tidak perlu dari objek domain Exchange
• Mengaktifkan Perlindungan Lanjutan untuk Pengesahan pada titik akhir Exchange di IIS, tidak termasuk Exchange Back End kerana ini akan memecah Exchange).

Di samping itu, anda boleh memasang salah satu penyelesaian antivirus untuk Microsoft Server 2013.

Serangan PrivExchange telah disahkan pada versi Pengawal Domain Exchange dan Windows versi patched sepenuhnya seperti Exchange 2013, 2016 dan 2019.