Một lỗ hổng mới đã được tìm thấy trong Microsoft Exchange Server 2013, 2016 và 2019. Lỗ hổng mới này được gọi là PrivExchange và thực sự là một lỗ hổng zero-day.

Khai thác lỗ hổng bảo mật này, kẻ tấn công có thể có được đặc quyền quản trị viên Bộ điều khiển miền bằng thông tin đăng nhập của người dùng hộp thư trao đổi với sự trợ giúp của công cụ Python đơn giản.

Lỗ hổng mới này đã được một nhà nghiên cứu Dirk-Jan Mollema nhấn mạnh trên blog cá nhân của ông một tuần trước. Trong blog của mình, anh tiết lộ thông tin quan trọng về lỗ hổng zero-day của PrivExchange.

Ông viết rằng đây không phải là một lỗ hổng duy nhất cho dù bao gồm 3 thành phần được kết hợp để leo thang quyền truy cập của kẻ tấn công từ bất kỳ người dùng nào có hộp thư đến Quản trị viên tên miền.

Ba lỗ hổng là:

• Máy chủ trao đổi có (đặc biệt) các đặc quyền cao theo mặc định
• Xác thực NTLM dễ bị tấn công chuyển tiếp
• Exchange có một tính năng giúp nó xác thực kẻ tấn công bằng tài khoản máy tính của máy chủ Exchange.

Theo nhà nghiên cứu, toàn bộ cuộc tấn công có thể được thực hiện bằng hai công cụ có tên là prvexchange.py và ntlmrelayx. Tuy nhiên, cuộc tấn công tương tự vẫn có thể xảy ra nếu kẻ tấn công thiếu thông tin xác thực người dùng cần thiết.

Trong các trường hợp như vậy, httpattack.py đã sửa đổi có thể được sử dụng với ntlmrelayx để thực hiện cuộc tấn công từ góc độ mạng mà không cần bất kỳ thông tin xác thực nào.

Cách giảm thiểu lỗ hổng Microsoft Exchange Server

Không có bản vá nào để khắc phục lỗ hổng zero-day này đã được Microsoft đề xuất. Tuy nhiên, trong cùng một bài đăng trên blog, Dirk-Jan Mollema truyền đạt một số giảm thiểu có thể được áp dụng để bảo vệ máy chủ khỏi các cuộc tấn công.

Các giảm thiểu được đề xuất là:

• Chặn các máy chủ trao đổi thiết lập quan hệ với các máy trạm khác
• Loại bỏ khóa đăng ký
• Triển khai ký SMB trên các máy chủ Exchange
• Xóa các đặc quyền không cần thiết khỏi đối tượng miền Exchange
• Kích hoạt bảo vệ mở rộng để xác thực trên các điểm cuối Exchange trong IIS, ngoại trừ các điểm cuối Exchange Back End vì điều này sẽ phá vỡ Exchange).

Ngoài ra, bạn có thể cài đặt một trong những giải pháp chống vi-rút này cho Microsoft Server 2013.

Các cuộc tấn công của PrivExchange đã được xác nhận trên các phiên bản vá hoàn toàn của Bộ kiểm soát miền và máy chủ Windows như Exchange 2013, 2016 và 2019.