PoC攻击代码授予标准Microsoft Exchange用户域管理员权限

华盟原创文章投稿奖励计划

本月21日,公开发布在GitHub上的命名为“privaexchange” 的POC攻击脚本,可以用权限提升代码利用协议缺陷和默认配置,为标准微软Exchange用户提供域管理员访问权限。

背景

由于公开发布了POC代码,先前记录的被完全修补的Microsoft Exchange的协议漏洞再次成为焦点。据安全研究员Dirk-Jan Mollema说,这个漏洞:“可能影响到大多数使用微软AD和Exchange的企业。”

提交给GitHubPOC代码允许标准Exchange用户获得域管理员对完全修补的Microsoft Exchange 2016服务器的访问权限,并从域控制器转储域凭据。

PoC攻击代码授予标准Microsoft Exchange用户域管理员权限

漏洞详情

此问题不是单个漏洞,而是以前公开的影响NT LAN Manager(NTLM)身份验证和Exchange服务器漏洞的协议漏洞的集合。根据研究者的Blog内容:

  • 默认情况下,Exchange服务器的权限太高;

  • NTLM身份验证易受中继攻击

  • Exchange具有一项功能,可以使用Exchange服务器的计算机帐户对攻击者进行身份验证。

Mollema还提供了一个脚本,该脚本允许未经身份验证的攻击,在该攻击中,可以将同一网络段中的用户的身份验证中继到Exchange Web服务(EWS),并使用其账号凭证来执行该攻击。

紧急需要的活动

此问题会影响已经打完补丁的Microsoft Exchange服务器,但安全研究员列出了以下缓解措施,其中包括Microsoft的建议:

  • 删除Exchange在域对象上拥有的不必要的高权限(以下包含引用)。

  • 启用LDAP签名并启用LDAP Channel Binding以分别阻止中继到LDAPLDAPS。

    https://support.microsoft.com/en-us/help/4034879/how-to-add-the-ldapenforcechannelbinding-registry-entry

  • 阻止Exchange服务器连接到任意端口上的工作站。

  • 对IIS中的Exchange端点启用扩展保护以进行身份验证。这将验证NTLM身份验证中的通道绑定参数,该参数将NTLM身份验证绑定到一个TLS连接,并阻止中继到Exchange Web服务

    https://docs.microsoft.com/en-us/previous-versions/dotnet/netframework-3.5/dd767318(v=vs.90)

  • Microsoft针对CVE-2018-8518的缓解措施中所述,删除注册表项,使重新传送回Exchange服务器成为可能。

    https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-8581(Tenable提供了缓解措施的覆盖范围)

  • 在Exchange服务器(最好是域中的所有其他服务器和工作站)上强制SMB签名,以防止对SMB的跨协议中继攻击。

识别受影响的系统

用于识别此漏洞的Nessus插件列表:

PoC攻击代码授予标准Microsoft Exchange用户域管理员权限

Tenable还提供以下针对SMB签名和NTLM v2的缓解特定配置检查文件,网址为:

https://www.tenable.com/downloads/audit

请使用这些审核文件:

1、CIS_DC_SERVER_2012_Level_1_v2.0.1.audit

2、CIS_DC_SERVER_2012_R2_Level_1_v2.3.0.audit

3、CIS_DC_SERVER_2016_Level_1_v1.0.0.audit

4、CIS_MS_2008_Server_Enterprise_v1.2.0.audit

5、CIS_MS_2008_Server_SSLF_v1.2.0.audit

6、CIS_MS_SERVER_2012_Level_1_v2.0.1.audit

7、CIS_MS_SERVER_2012_R2_Level_1_v2.3.0.audit

8、CIS_MS_SERVER_2016_Level_1_v1.0.0.audit

9、CIS_MS_Windows_10_Enterprise_Level_1_Bitlocker_v1.3.0.audit

10、CIS_MS_Windows_10_Enterprise_Level_1_v1.3.0.audit

11、CIS_MS_Windows_Server_2008_DC_Level_1_v3.0.1.audit

12、CIS_MS_Windows_Server_2008_MS_Level_1_v3.0.1.audit

13、CIS_MS_Windows_Server_2008_R2_DC_Level_1_v3.1.0.audit

14、CIS_MS_Windows_Server_2008_R2_MS_Level_1_v3.1.0.audit

15、DISA_STIG_Server_2008_DC_v6r40.audit

16、DISA_STIG_Server_2008_MS_v6r40.audit

17、DISA_STIG_Server_2012_and_2012_R2_DC_v2r12.audit

18、DISA_STIG_Server_2012_and_2012_R2_MS_v2r12.audit

19、DISA_STIG_Windows_10_v1r13.audit

20、DISA_STIG_Windows_Server_2016_v1r4.audit

获取更多信息

Abusing Exchange: One API call away from Domain Admin

https://dirkjanm.io/abusing-exchange-one-api-call-away-from-domain-admin/

PrivExchange POC 攻击脚本

https://github.com/dirkjanm/privexchange/

文章来源:看雪学院

本文来源看雪学院​,经授权后由一叶知秋发布,观点不代表华盟网的立场,转载请联系原作者。

发表评论