Güvenlik uzmanlarından Dirk-jan Mollema tarafından tespit edilen bir açık kullanılarak standart bir posta kutusu kullanıcısı yani bir şirket çalışanı kendisini domain admin yapabilmektedir.
Malum hepimiz pentest yaptırıyoruz ve standart olarak her pentest sırasında domain admin hakkını kaptırmamak için elimizden gelen çabayı gösteriyoruz. Ancak pek çok pentest sırasında nasıl standart bir user açıyor isek beraberindeki porta kutusu aslında o arkadaşların çok kolay bir şekilde domain admin olmasını sağlıyor. Bu nedenle exchange server kullanan ve güvenliğe önem veren herkes için çok kritik bir mail okuyorsunuz şu anda.
Atak iki tane Python temelli araç ile başarılı bir şekilde gerçekleştiriliyor. Hatta o kadar iddialı ki bu kodları paylaşmış durumda.
Özetle size pentest’ e gelen birisi rahatlıkla domain admin olabilir.
Atak hakkında daha fazla bilgi için;
https://dirkjanm.io/abusing-exchange-one-api-call-away-from-domain-admin/
Peki neler öneriliyor?
- Remove the unnecessary high privileges that Exchange has on the Domain object (see below for some links on this).
- Enable LDAP signing and enable LDAP channel binding to prevent relaying to LDAP and LDAPS respectively
- Block Exchange servers from making connections to workstations on arbitrary ports.
- Enable Extended Protection for Authentication on the Exchange endpoints in IIS (but not the Exchange Back End ones, this will break Exchange). This will verify the channel binding parameters in the NTLM authentication, which ties NTLM authentication to a TLS connection and prevent relaying to Exchange web services.
- Remove the registry key which makes relaying back to the Exchange server possible, as discussed in Microsofts mitigation for CVE-2018-8518.
- Enforce SMB signing on Exchange servers (and preferable all other servers and workstations in the domain) to prevent cross-protocol relay attacks to SMB.
- If EWS push/pull subscriptions aren’t used, they can be disabled by setting the EWSMaxSubscriptions to 0 with a throttling policy, as discovered by @gentilkiwi here. I haven’t tested how much these are used by legitimate applications, so testing it with a small user scope is recommended.
Yada aşağıdaki güncel yamaları yükleyebilirsiniz;
Görüşmek üzere.