Zero Day en Microsoft Exchange permite escalar privilegios

25 Enero 2019
Alto

El investigador Dirk-ene Mollema, de Fox-It, descubrió una vulnerabilidad de escalada de privilegios en Microsoft Exchange que podría ser explotada por un atacante, para convertirse en administrador del dominio.

El experto publicó una Prueba de Concepto (PoC) que evidencia que la mayoría de las organizaciones, si usan Active Directory y Exchange, tienen privilegios altos de administrador en los servidores de Exchange, suficientes para escalar a Domain Admin.

También explicó que Microsoft Exchange tiene altos privilegios por defecto en el dominio de Active Directory. Un atacante podría sincronizar las contraseñas con el hash de los usuarios de Active, a través de una simple operación del controlador del dominio, para luego suplantar a los usuarios y autenticarse con cualquier servicio, mediante NTLM o Kerberos.

El investigador explicó las 3 maneras de escalar privilegios con un buzón de correo al acceso de administrador con dominio:

-Los servidores Exchange tienen altos privilegios por defecto.

-La autenticación NTML es vulnerable a los ataques de retransmisión.

-Exchange tiene una característica que lo hace autenticar a un atacante con la cuenta del computador del servidor de Exchange.

Se espera que Microsoft solucione la vulnerabilidad en su Patch Tuesday de febrero. Mientras, se recomienda lo siguiente:

-Eliminar los privilegios innecesarios que Exchange tiene en el objeto de dominio

-Habilitar la firma LDAP y el enlace de canal LDAP, para evitar la retransmisión de LDAP y LDAPS, respectivamente.

-Impedir que los servidores de Exchange se conecten a puertos arbitrarios de estaciones de trabajo.

-Habilitar la protección ampliada para la autenticación en los puntos finales de Exchange en IIS (pero no de Exchange Back End).

-Eliminar la clave de registro, que permite la retransmisión al servidor de Exchange.

-Incluir la firma SMB en los servidores de Exchange, para evitar ataques de retransmisión de protocolo cruzado a SMB.

-Si no se utilizan las suscripciones push / pull de EWS, se pueden desactivar configurando las suscripciones de EWSMax a 0.


Tags: #zeroday #microsoftexgange #exgange #poc #activedirectory
  • Productos Afectados
  • Producto Versión
    Microsoft Windows Server 2012 R2
    2016 DC
    2019 DC


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.