تم العثور على ثغرة أمنية جديدة في Microsoft Exchange Server 2013 و 2016 و 2019. وتسمى هذه الثغرة الجديدة PrivExchange وهي في الواقع ثغرة أمنية في يوم الصفر.

باستغلال ثقب الأمان هذا ، يمكن للمهاجم الحصول على امتيازات مسؤول وحدة التحكم بالمجال باستخدام بيانات اعتماد مستخدم صندوق بريد التبادل بمساعدة أداة Python البسيطة.

وقد سلط الباحث ديرك جان مولليما الضوء على هذه الثغرة الجديدة على مدونته الشخصية قبل أسبوع. في مدونته ، يكشف عن معلومات مهمة حول مشكلة عدم حصانة PrivExchange في يوم الصفر.

يكتب أن هذا ليس عيبًا واحدًا سواء كان مكونًا من 3 مكونات يتم دمجها لتصعيد وصول مهاجم من أي مستخدم لديه صندوق بريد إلى إدارة المجال.

هذه العيوب الثلاثة هي:

• خوادم Exchange لها (أيضًا) امتيازات عالية بشكل افتراضي
• مصادقة NTLM عرضة لهجمات الترحيل
• يحتوي Exchange على ميزة تجعله مصادقًا على المهاجم باستخدام حساب الكمبيوتر الخاص بخادم Exchange.

وفقًا للباحث ، يمكن تنفيذ الهجوم بالكامل باستخدام أداتين تدعى privexchange.py و ntlmrelayx. ومع ذلك ، لا يزال الهجوم نفسه ممكنًا إذا كان المهاجم يفتقر إلى بيانات اعتماد المستخدم الضرورية.

في مثل هذه الظروف ، يمكن استخدام httpattack.py المعدلة مع ntlmrelayx لتنفيذ الهجوم من منظور الشبكة دون أي بيانات اعتماد.

كيفية التخفيف من نقاط الضعف في Microsoft Exchange Server

لم تقترح Microsoft حتى الآن أي تصحيحات لإصلاح مشكلة عدم الحصانة في اليوم صفر. ومع ذلك ، في منشور المدونة نفسه ، تقوم Dirk-Jan Mollema بإبلاغ بعض التخفيفات التي يمكن تطبيقها لحماية الخادم من الهجمات.

التخفيفات المقترحة هي:

• منع خوادم التبادل من إقامة علاقات مع محطات العمل الأخرى
• القضاء على مفتاح التسجيل
• تطبيق توقيع SMB على خوادم Exchange
• إزالة الامتيازات غير الضرورية من كائن المجال Exchange
• تمكين الحماية الموسعة للمصادقة على نقاط النهاية Exchange في IIS ، باستثناء تلك Exchange Back End لأن هذا من شأنه أن يكسر Exchange).

بالإضافة إلى ذلك ، يمكنك تثبيت أحد حلول مكافحة الفيروسات هذه لـ Microsoft Server 2013.

تم تأكيد هجمات PrivExchange على الإصدارات الكاملة من خوادم Exchange و Windows Controllers Domain مثل Exchange 2013 و 2016 و 2019.