È stata rilevata una nuova vulnerabilità in Microsoft Exchange Server 2013, 2016 e 2019. Questa nuova vulnerabilità si chiama PrivExchange ed è in realtà una vulnerabilità zero-day.

Sfruttando questa falla di sicurezza, un utente malintenzionato può ottenere i privilegi di amministratore del controller di dominio utilizzando le credenziali di un utente della cassetta postale di scambio con l'aiuto del semplice strumento Python.

Questa nuova vulnerabilità è stata evidenziata da un ricercatore Dirk-Jan Mollema sul suo blog personale una settimana fa. Nel suo blog, rivela importanti informazioni sulla vulnerabilità zero-day di PrivExchange.

Scrive che questo non è un singolo difetto se comprende 3 componenti che sono combinati per intensificare l'accesso di un utente malintenzionato da qualsiasi utente con una cassetta postale a Domain Admin.

Questi tre difetti sono:

• I server Exchange dispongono di privilegi (troppo) elevati per impostazione predefinita
• L'autenticazione NTLM è vulnerabile agli attacchi di inoltro
• Exchange ha una funzione che lo rende autentico per un utente malintenzionato con l'account computer del server Exchange.

Secondo il ricercatore, l'intero attacco può essere eseguito utilizzando i due strumenti denominati privexchange.py e ntlmrelayx. Tuttavia, lo stesso attacco è ancora possibile se un utente malintenzionato non dispone delle credenziali utente necessarie.

In tali circostanze, httpattack.py modificato può essere utilizzato con ntlmrelayx per eseguire l'attacco dal punto di vista della rete senza alcuna credenziale.

Come mitigare le vulnerabilità di Microsoft Exchange Server

Microsoft non ha ancora proposto patch per correggere questa vulnerabilità zero-day. Tuttavia, nello stesso post sul blog, Dirk-Jan Mollema comunica alcune mitigazioni che possono essere applicate per proteggere il server dagli attacchi.

Le mitigazioni proposte sono:

• Impedire ai server di scambio di stabilire relazioni con altre workstation
• Eliminazione della chiave di registro
• Implementazione della firma SMB sui server Exchange
• Rimozione di privilegi non necessari dall'oggetto dominio di Exchange
• Abilitazione della protezione estesa per l'autenticazione sugli endpoint di Exchange in IIS, esclusi quelli di back-end di Exchange perché ciò danneggerebbe Exchange).

Inoltre, è possibile installare una di queste soluzioni antivirus per Microsoft Server 2013.

Gli attacchi di PrivExchange sono stati confermati sulle versioni con patch complete dei controller di dominio dei server Exchange e Windows come Exchange 2013, 2016 e 2019.