Любой клиент Exchange может стать администратором домена
28 января 2019 г., понедельник
Эскалация привилегий возможна благодаря совместной эксплуатации нескольких багов, обнаруженных ИБ-специалистами.
Уязвимость Microsoft Exchange Server позволяет злоумышленнику повысить привилегии любого зарегистрированного в системе почтового аккаунта до уровня администратора домена. Это выяснил ИБ-специалист Дирк-Ян Моллема (Dirk-jan Mollema), выложивший PoC атаки на GitHub. Аналитик применил уже известные баги обхода аутентификации и ретрансляции прав, чтобы получить возможность назначать разрешения другим клиентам сети. Microsoft пока не сообщила о сроках выхода патча, сославшись на принятый в компании график выпуска апдейтов.
Ключевая проблема заключается в наличии у Exchange Server слишком высоких прав по умолчанию. Моллема отмечает, что группа разрешений Exchange Windows Permissions позволяет назначать привилегии другим клиентам домена, а также синхронизировать хэши паролей. В сочетании с уязвимостями аутентификации протокола NTLM нападающий получает возможность ретранслировать административные права любому пользователю.
Как утверждает исследователь, relay-атака, являющаяся частным случаем метода «человек посередине», дает доступ к паролям других пользователей в Active Directory и позволяет авторизоваться под их аккаунтами через контроллер домена.
Как указывает ИБ-специалист, получить доступ к системе можно через SSRF-уязвимость, выявленную исследователями проекта ZDI в декабре прошлого года. Разработанный аналитиками эксплойт позволяет взломать механизм аутентификации при помощи запроса типа PushSubscription к API с произвольным URL в качестве параметра.
Моллема сообщил о своей находке Microsoft, однако вендор не смог назвать точной даты выхода заплатки. Разработчики Exchange лишь отметили, что в соответствии с политикой компании все апдейты выпускаются во второй вторник каждого месяца. Для снижения вероятности атаки эксперт предлагает пересмотреть привилегии Exchange Server в домене, оставив лишь действительно необходимые разрешения, а также включить механизм цифровой подписи при SMB-аутентификации.
В октябре прошлого года Microsoft пришлось вернуться к давнему багу Exchange Server, связанному с библиотекой Microsoft Foundation Class (MFC). Проблема была обусловлена неправильной обработкой операции загрузки dll, что давало злоумышленнику возможность удаленно выполнить код и перехватить управление целевой системой. О бреши известно уже восемь лет — производитель патчил ее во всех новых выпусках Exchange с 2010 года.