Microsoftin Exchange -palvelimen haavoittuvuus mahdollistaa käyttöoikeuksien korottamiseen
Haavoittuvuus2/2019
Tietoturvatutkijan löytämä haavoittuvuus Microsoft Exchangessa mahdollistaa käyttöoikeuksien korottamisen jopa toimialueen ylläpitäjän (Domain Admin) -tasolle. Microsoft on julkaissut Exchange-palvelinten ylläpitäjille ohjeet haavoittuvuuden hyväksikäytön estämiseksi. Microsoft julkaisi haavoittuvuuden korjaavan päivityksen 13.2.2019.
Haavoittuvuuden löytänyt tietoturvatutkija kuvaa kirjoituksessaan (Ulkoinen linkki) varsinaisen hyökkäyksen koostuvan kolmesta eri komponentista tai vaiheesta, jotka hyväksikäyttävät Exchangen ominaisuuksia ja tunnettuja NTLM-protokollan heikkouksia. Tutkija julkaisi kirjoituksensa yhteydessä työkaluja, joilla hyökkäys voidaan todentaa. Hyökkäys vaatii sen, että hyökkääjällä on käytössään sähköpostilaatikko hyökkäyksen kohteena olevasta Exchange-järjestelmästä, ja että hyökkääjä voi viestiä Exchange-palvelimen EWS-rajapintaan.
Haavoittuvuuden toimivuus on todennettu Microsoft Exchange Server 2013, 2016 ja 2019 versioilla. Haavoittuvuus ei koske Exchange Onlineä.
Päivitys 14.2.2019
Microsoft on julkaissut tuettuihin Exchange-versioihin kumulatiivisia päivityspaketteja 13.2.2019 aikana, ja päivityspaketit korjaavat haavoittuvuuden. Päivitystiedot löytyvät alla mainitusta Microsoft Advisory 190007 -linkistä latauslinkkeineen.
Suosittelemme ensi sijassa päivittämään sovellukset ajantasaisiin versioihin haavoittuvuuden korjaamiseksi.
Kohde
- Palvelimet ja palvelinsovellukset
Hyökkäystapa
- Etäkäyttö
Vaikutukset
- Käyttövaltuuksien laajentaminen
Hyväksikäyttömenetelmä tiedossa
- Haavoittuvuuden havainnollistava esimerkkikoodi
Ratkaisu
- Korjaava ohjelmistopäivitys
- Ongelman rajoittaminen
Haavoittuvuuden kohde
- Exchange 2013
- Exchange 2016
- Exchange 2019
Mistä on kysymys?
- Päivitä Exchange Microsoftin ohjeistuksen mukaisesti
- Poista Exchange domain-objektilta tarpeettoman korkeat oikeudet
- Käytä allekirjoitusvarmennetta liikenteen salaamiseen LDAP ja SMB -yhteyksien kanssa
- Estä Exchange-palvelinta muodostamasta yhteyksiä työasemien satunnaisiin portteihin
- Poista Exchange Web Service (EWS) push/pull tilaukset (subscriptions) käytöstä, jos ne eivät ole tarpeen
Tarkempia ohjeita rajoituskeinoiksi löytyy seuraavista artikkeleista:
- https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/adv190007 (Ulkoinen linkki)
- https://dirkjanm.io/abusing-exchange-one-api-call-away-from-domain-admin/ (Ulkoinen linkki)
- https://isc.sans.edu/forums/diary/Relaying+Exchanges+NTLM+authentication+to+domain+admin+and+more/24578/ (Ulkoinen linkki)
- https://www.kb.cert.org/vuls/id/465632/ (Ulkoinen linkki)
Mitä voin tehdä?
vulncoord@traficom.fi
Lisäsimme viitteen Microsoftin tiedotteeseen haavoittuvuuden rajoituskeinoista.
Lisätty tieto korjaavista päivityksistä.
Korjattu virheellinen linkki pois.