Злоумышленник под видом пользователей Active Directory может авторизоваться в любом сервисе, использующем протоколы NTLM или Kerberos.
Платформа Microsoft Exchange содержит уязвимость повышения привилегий, которая позволяет любому владельцу почтового ящика стать администратором домена. Специалист компании Fox-IT Дирк-ян Моллема (Dirk-jan Mollema) раскрыл подробности об атаке, а также опубликовал PoC-код для уязвимости.
Процесс атаки предполагает эксплуатацию трех проблем – высоких привилегий Exchange Server, уязвимости протокола NTLM к атакам повторного воспроизведения и функции, предоставляющей атакующему с учетной записью Exchange возможность авторизации.
Основная из них, объясняет Миллема, заключается в установленных по умолчанию высоких привилегиях доменной службы Active Directory. По его словам, группа Exchange Windows Permissions обладает правом WriteDACL (право на выдачу прав) на объект Domain в Active Directory, что позволяет любому участнику группы изменять привилегии домена, в том числе на выполнение DCSync операций.
Таким образом атакующий может синхронизировать хеши паролей пользователей Active Directory и под их именем авторизоваться в любом сервисе, использующем протоколы NTLM (разработанный Microsoft протокол сетевой аутентификации) или Kerberos. Атака предусматривает использование двух инструментов privexchange.py и ntlmrelayx.py.
Моллема предложил несколько возможных мер защиты от данной атаки, в том числе понижение прав Exchange на объект Domain, включение требования цифровой подписи для LDAP, блокировку подключения серверов Exchange к произвольным портам, активацию расширенной защиты аутентификации на конечных точках Exchange, удаление ключа реестра, позволяющего осуществление атак повторного воспроизведения, а также включение цифровой подписи SMB.
В комментарии изданию The Register представители Microsoft не назвали точные сроки устранения проблемы. Вполне возможно, патч для данной уязвимости будет доступен в составе плановых обновлений безопасности в феврале нынешнего года.
Microsoft Exchange Server — программный продукт для обмена сообщениями и совместной работы.
