Нова рањивост пронађена је у Мицрософт Екцханге Сервер 2013, 2016 и 2019. Ова нова рањивост назива се ПривЕкцханге и заправо је нула-дневна рањивост.

Искорисћујући ову сигурносну рупу, нападач може стећи администраторске привилегије Администратор домена користећи акредитиве корисника размјене поштанског сандучета уз помоћ једноставног алата Питхон.

Ту нову рањивост истакао је истраживач Дирк-Јан Моллема на свом личном блогу пре недељу дана. У свом блогу, он открива важне информације о ПривЕкцханге рањивости без дана.

Он пише да то није једна грешка, без обзира да ли се састоји од 3 компоненте које су комбиноване да би се ескалирао приступ нападача од било ког корисника који је имао поштанско сандуче домени Администратор.

Ове три мане су:

• Екцханге сервери имају (пре) високе привилегије подразумевано
• Аутентификација НТЛМ рањива је на релејне нападе
• Екцханге има функцију која омогућава да се аутентификује нападачу помоћу рачунарског налога Екцханге сервера.

Према истраживачима, цео напад се може извести помоћу два алата под називом привекцханге.пи и нтлмрелаик. Међутим, исти напад је и даље могућ ако нападачу недостају потребне корисничке вјеродајнице.

У таквим околностима, модификовани хттпаттацк.пи се може користити са нтлмрелаик-ом за извођење напада из мрежне перспективе без икаквих вјеродајница.

Како ублажити рањивости Мицрософт Екцханге Сервер-а

Мицрософт још није предложио никакве закрпе за поправљање ове рањивости од нуле. Међутим, у истом посту на блогу Дирк-Јан Моллема саопштава нека ублажавања која се могу применити како би се заштитио сервер од напада.

Предложена ублажавања су:

• Блокирајући сервере размене за успостављање односа са другим радним станицама
• Елиминисање регистра регистра
• Имплементација СМБ потписивања на Екцханге серверима
• Уклањање непотребних привилегија из објекта домене Екцханге
• Омогућавање проширене заштите за аутентификацију на крајњим тачкама Екцханге у ИИС-у, искључујући Екцханге Бацк Енд-ове јер би то прекинуло Екцханге).

Поред тога, можете инсталирати једно од ових антивирусних решења за Мицрософт Сервер 2013.

Напади ПривЕкцханге потврђени су на потпуно закрпљеним верзијама Екцханге и Виндовс сервера Контроле домена попут Екцханге 2013, 2016 и 2019.