Se ha encontrado una nueva vulnerabilidad en Microsoft Exchange Server 2013, 2016 y 2019. Esta nueva vulnerabilidad se llama PrivExchange y en realidad es una vulnerabilidad de día cero.
Aprovechando este agujero de seguridad, un atacante puede obtener privilegios de administrador del controlador de dominio utilizando las credenciales de un usuario de buzón de correo de intercambio con la ayuda de la simple herramienta Python.
Esta nueva vulnerabilidad fue destacada por un investigador Dirk-Jan Mollema en su blog personal hace una semana. En su blog, revela información importante sobre la vulnerabilidad de día cero de PrivExchange.
Él escribe que esto no es un solo defecto si se compone de 3 componentes que se combinan para escalar el acceso de un atacante de cualquier usuario con un buzón de correo a la administración del dominio.
Estos tres defectos son:
- Los servidores de Exchange tienen (demasiado) altos privilegios por defecto
- La autenticación NTLM es vulnerable a los ataques de retransmisión
- Exchange tiene una característica que lo hace autenticar a un atacante con la cuenta de equipo del servidor de Exchange.
Según el investigador, todo el ataque se puede realizar utilizando las dos herramientas denominadas privexchange.py y ntlmrelayx. Sin embargo, el mismo ataque sigue siendo posible si un atacante carece de las credenciales de usuario necesarias.
En tales circunstancias, httpattack.py modificado puede ser utilizado con el ntlmrelayx para realizar el ataque desde una perspectiva de red sin ninguna credencial.
Cómo mitigar las vulnerabilidades de Microsoft Exchange Server
Microsoft todavía no ha propuesto ningún parche para corregir esta vulnerabilidad de día cero. Sin embargo, en la misma entrada del blog, Dirk-Jan Mollema comunica algunas mitigaciones que pueden ser aplicadas para proteger al servidor de los ataques.
Las mitigaciones propuestas son:
- Bloqueo de servidores de intercambio para que no puedan establecer relaciones con otras estaciones de trabajo
- Eliminar la clave de registro
- Implementación de la firma SMB en servidores Exchange
- Eliminación de privilegios innecesarios del objeto de dominio de Exchange
- Habilitación de la protección ampliada para la autenticación en los puntos finales de Exchange en IIS, excluyendo los de Exchange Back End, ya que esto rompería Exchange).
Además, puede instalar una de estas soluciones antivirus para Microsoft Server 2013.
Los ataques de PrivExchange han sido confirmados en las versiones completamente parcheadas de los controladores de dominio de servidores Exchange y Windows como Exchange 2013, 2016 y 2019.
- 5 mejores programas antispam para su servidor de correo electrónico Exchange
- 5 del mejor software de privacidad de correo electrónico para 2019