user100
29.01.2019, 10:52
ЛЮБОЙ КЛИЕНТ EXCHANGE МОЖЕТ СТАТЬ АДМИНИСТРАТОРОМ ДОМЕНА.
Уязвимость Microsoft Exchange Server позволяет (https://www.theregister.co.uk/2019/01/25/microsoft_exchange_domain_admin_eop/) злоумышленнику повысить привилегии любого зарегистрированного в системе почтового аккаунта до уровня администратора домена. Это выяснил ИБ-специалист Дирк-Ян Моллема (Dirk-jan Mollema), выложивший PoC атаки на GitHub. Аналитик применил уже известные баги обхода аутентификации и ретрансляции прав, чтобы получить возможность назначать разрешения другим клиентам сети. Microsoft пока не сообщила о сроках выхода патча, сославшись на принятый в компании график выпуска апдейтов.
Ключевая проблема заключается в наличии у Exchange Server слишком высоких прав по умолчанию. Моллема отмечает, что группа разрешений Exchange Windows Permissions позволяет назначать привилегии другим клиентам домена, а также синхронизировать хэши паролей. В сочетании с уязвимостями аутентификации протокола NTLM нападающий получает возможность ретранслировать административные права любому пользователю.
Как утверждает исследователь, relay-атака, являющаяся частным случаем метода «человек посередине» (https://encyclopedia.kaspersky.ru/glossary/man-in-the-middle-attack/?utm_source=threatpost&utm_medium=blog&utm_campaign=termin-explanation), дает доступ к паролям других пользователей в Active Directory и позволяет авторизоваться под их аккаунтами через контроллер домена.
Как указывает ИБ-специалист, получить доступ к системе можно через SSRF-уязвимость (https://encyclopedia.kaspersky.ru/glossary/server-side-request-forgery-ssrf/?utm_source=threatpost&utm_medium=blog&utm_campaign=termin-explanation), выявленную исследователями проекта ZDI (https://www.thezdi.com/blog/2018/12/19/an-insincere-form-of-flattery-impersonating-users-on-microsoft-exchange)в декабре прошлого года. Разработанный аналитиками эксплойт позволяет взломать механизм аутентификации при помощи запроса типа PushSubscription к API с произвольным URL в качестве параметра.
Моллема сообщил о своей находке Microsoft, однако вендор не смог назвать точной даты выхода заплатки. Разработчики Exchange лишь отметили, что в соответствии с политикой компании все апдейты выпускаются во второй вторник каждого месяца. Для снижения вероятности атаки эксперт предлагает пересмотреть привилегии Exchange Server в домене, оставив лишь действительно необходимые разрешения, а также включить механизм цифровой подписи при SMB-аутентификации.
В октябре прошлого года Microsoft пришлось вернуться (https://threatpost.ru/microsoft-patches-zero-day-under-active-attack-by-apt/28652/) к давнему багу Exchange Server, связанному с библиотекой Microsoft Foundation Class (MFC). Проблема была обусловлена неправильной обработкой операции загрузки dll, что давало злоумышленнику возможность удаленно выполнить код и перехватить управление целевой системой. О бреши известно уже восемь лет — производитель патчил ее во всех новых выпусках Exchange с 2010 года.
_________________
28/01/2019
https://threatpost.ru/any-exchange-user-could-become-domain-admin/30736/
Уязвимость Microsoft Exchange Server позволяет (https://www.theregister.co.uk/2019/01/25/microsoft_exchange_domain_admin_eop/) злоумышленнику повысить привилегии любого зарегистрированного в системе почтового аккаунта до уровня администратора домена. Это выяснил ИБ-специалист Дирк-Ян Моллема (Dirk-jan Mollema), выложивший PoC атаки на GitHub. Аналитик применил уже известные баги обхода аутентификации и ретрансляции прав, чтобы получить возможность назначать разрешения другим клиентам сети. Microsoft пока не сообщила о сроках выхода патча, сославшись на принятый в компании график выпуска апдейтов.
Ключевая проблема заключается в наличии у Exchange Server слишком высоких прав по умолчанию. Моллема отмечает, что группа разрешений Exchange Windows Permissions позволяет назначать привилегии другим клиентам домена, а также синхронизировать хэши паролей. В сочетании с уязвимостями аутентификации протокола NTLM нападающий получает возможность ретранслировать административные права любому пользователю.
Как утверждает исследователь, relay-атака, являющаяся частным случаем метода «человек посередине» (https://encyclopedia.kaspersky.ru/glossary/man-in-the-middle-attack/?utm_source=threatpost&utm_medium=blog&utm_campaign=termin-explanation), дает доступ к паролям других пользователей в Active Directory и позволяет авторизоваться под их аккаунтами через контроллер домена.
Как указывает ИБ-специалист, получить доступ к системе можно через SSRF-уязвимость (https://encyclopedia.kaspersky.ru/glossary/server-side-request-forgery-ssrf/?utm_source=threatpost&utm_medium=blog&utm_campaign=termin-explanation), выявленную исследователями проекта ZDI (https://www.thezdi.com/blog/2018/12/19/an-insincere-form-of-flattery-impersonating-users-on-microsoft-exchange)в декабре прошлого года. Разработанный аналитиками эксплойт позволяет взломать механизм аутентификации при помощи запроса типа PushSubscription к API с произвольным URL в качестве параметра.
Моллема сообщил о своей находке Microsoft, однако вендор не смог назвать точной даты выхода заплатки. Разработчики Exchange лишь отметили, что в соответствии с политикой компании все апдейты выпускаются во второй вторник каждого месяца. Для снижения вероятности атаки эксперт предлагает пересмотреть привилегии Exchange Server в домене, оставив лишь действительно необходимые разрешения, а также включить механизм цифровой подписи при SMB-аутентификации.
В октябре прошлого года Microsoft пришлось вернуться (https://threatpost.ru/microsoft-patches-zero-day-under-active-attack-by-apt/28652/) к давнему багу Exchange Server, связанному с библиотекой Microsoft Foundation Class (MFC). Проблема была обусловлена неправильной обработкой операции загрузки dll, что давало злоумышленнику возможность удаленно выполнить код и перехватить управление целевой системой. О бреши известно уже восемь лет — производитель патчил ее во всех новых выпусках Exchange с 2010 года.
_________________
28/01/2019
https://threatpost.ru/any-exchange-user-could-become-domain-admin/30736/