Microsoft Exchange Server 2013, 2016 ve 2019'da yeni bir güvenlik açığı bulundu. Bu yeni güvenlik açığına PrivExchange adı verilir ve aslında sıfır günlük bir güvenlik açığıdır.

Bu güvenlik açığından yararlanan bir saldırgan, basit bir Python aracı yardımıyla bir değişim posta kutusu kullanıcısının kimlik bilgilerini kullanarak Etki Alanı Denetleyicisi yönetici ayrıcalıkları kazanabilir.

Bu yeni güvenlik açığı, bir hafta önce kişisel blogunda bir araştırmacı Dirk-Jan Mollema tarafından vurgulandı. Blogunda, PrivExchange sıfır gün güvenlik açığı hakkında önemli bilgiler açıkladı.

Bir tek bir kusur olmadığını, bir saldırganın posta kutusu olan herhangi bir kullanıcıdan Etki Alanı Yöneticisine erişimini artırmak için bir araya getirilmiş 3 bileşenden oluşup oluşmadığını yazıyor.

Bu üç kusur:

• Exchange Sunucuları varsayılan olarak (çok) yüksek ayrıcalıklara sahiptir
• NTLM kimlik doğrulaması geçiş saldırılarına karşı savunmasızdır
• Exchange, Exchange sunucusunun bilgisayar hesabıyla bir saldırganın kimliğini doğrulayan bir özelliğe sahiptir.

Araştırmacıya göre, tüm saldırı privexchange.py ve ntlmrelayx adlı iki araç kullanılarak gerçekleştirilebilir. Ancak, bir saldırgan gerekli kullanıcı kimlik bilgilerine sahip değilse aynı saldırı hala mümkündür.

Bu gibi durumlarda, saldırıyı bir ağ perspektifinden herhangi bir kimlik bilgisi olmadan gerçekleştirmek için ntlmrelayx ile değiştirilmiş httpattack.py kullanılabilir.

Microsoft Exchange Server güvenlik açıkları nasıl azaltılır

Bu sıfır günlük güvenlik açığını gidermek için henüz bir düzeltme eki henüz Microsoft tarafından önerilmemiştir. Bununla birlikte, aynı blog gönderisinde Dirk-Jan Mollema, sunucuyu saldırılara karşı korumak için uygulanabilecek bazı azaltımları iletiyor.

Önerilen azaltmalar:

• Değişim sunucularının diğer iş istasyonları ile ilişki kurmasını engelleme
• Kayıt anahtarını ortadan kaldırmak
• Exchange sunucularında SMB imzasını uygulamak
• Gereksiz ayrıcalıkları Exchange etki alanı nesnesinden kaldırma
• IIS'de Exchange uç noktalarında Kimlik Doğrulama için Gelişmiş Korumanın Etkinleştirilmesi, bunun nedeni Exchange'i bozacağından Exchange Arka Uçları hariç olmaktır).

Ayrıca, bu antivirüs çözümlerinden birini Microsoft Server 2013 için yükleyebilirsiniz.

PrivExchange saldırıları, Exchange ve Windows sunucularının Exchange 2013, 2016 ve 2019 gibi Etki Alanı Denetleyicilerinin tam düzeltme ekli sürümlerinde doğrulanmıştır.