PoC攻击代码授予标准Microsoft Exchange用户域管理员权限
本月21日,公开发布在GitHub上的命名为“privaexchange” 的POC攻击脚本,可以用权限提升代码利用协议缺陷和默认配置,为标准微软Exchange用户提供域管理员访问权限。
背景
由于公开发布了POC代码,先前记录的被完全修补的Microsoft Exchange的协议漏洞再次成为焦点。据安全研究员Dirk-Jan Mollema说,这个漏洞:“可能影响到大多数使用微软AD和Exchange的企业。”
提交给GitHub的POC代码允许标准Exchange用户获得域管理员对完全修补的Microsoft Exchange 2016服务器的访问权限,并从域控制器转储域凭据。
漏洞详情
此问题不是单个漏洞,而是以前公开的影响NT LAN Manager(NTLM)身份验证和Exchange服务器漏洞的协议漏洞的集合。根据研究者的Blog内容:
-
默认情况下,Exchange服务器的权限太高;
-
NTLM身份验证易受中继攻击;
-
Exchange具有一项功能,可以使用Exchange服务器的计算机帐户对攻击者进行身份验证。
Mollema还提供了一个脚本,该脚本允许未经身份验证的攻击,在该攻击中,可以将同一网络段中的用户的身份验证中继到Exchange Web服务(EWS),并使用其账号凭证来执行该攻击。
紧急需要的活动
此问题会影响已经打完补丁的Microsoft Exchange服务器,但安全研究员列出了以下缓解措施,其中包括Microsoft的建议:
-
删除Exchange在域对象上拥有的不必要的高权限(以下包含引用)。
-
启用LDAP签名并启用LDAP Channel Binding以分别阻止中继到LDAP和LDAPS。
https://support.microsoft.com/en-us/help/4034879/how-to-add-the-ldapenforcechannelbinding-registry-entry
-
阻止Exchange服务器连接到任意端口上的工作站。
-
对IIS中的Exchange端点启用扩展保护以进行身份验证。这将验证NTLM身份验证中的通道绑定参数,该参数将NTLM身份验证绑定到一个TLS连接,并阻止中继到Exchange Web服务
https://docs.microsoft.com/en-us/previous-versions/dotnet/netframework-3.5/dd767318(v=vs.90)
-
如Microsoft针对CVE-2018-8518的缓解措施中所述,删除注册表项,使重新传送回Exchange服务器成为可能。
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-8581(Tenable提供了缓解措施的覆盖范围)
-
在Exchange服务器(最好是域中的所有其他服务器和工作站)上强制SMB签名,以防止对SMB的跨协议中继攻击。
识别受影响的系统
用于识别此漏洞的Nessus插件列表:
Tenable还提供以下针对SMB签名和NTLM v2的缓解特定配置检查文件,网址为:
https://www.tenable.com/downloads/audit
请使用这些审核文件:
1、CIS_DC_SERVER_2012_Level_1_v2.0.1.audit
2、CIS_DC_SERVER_2012_R2_Level_1_v2.3.0.audit
3、CIS_DC_SERVER_2016_Level_1_v1.0.0.audit
4、CIS_MS_2008_Server_Enterprise_v1.2.0.audit
5、CIS_MS_2008_Server_SSLF_v1.2.0.audit
6、CIS_MS_SERVER_2012_Level_1_v2.0.1.audit
7、CIS_MS_SERVER_2012_R2_Level_1_v2.3.0.audit
8、CIS_MS_SERVER_2016_Level_1_v1.0.0.audit
9、CIS_MS_Windows_10_Enterprise_Level_1_Bitlocker_v1.3.0.audit
10、CIS_MS_Windows_10_Enterprise_Level_1_v1.3.0.audit
11、CIS_MS_Windows_Server_2008_DC_Level_1_v3.0.1.audit
12、CIS_MS_Windows_Server_2008_MS_Level_1_v3.0.1.audit
13、CIS_MS_Windows_Server_2008_R2_DC_Level_1_v3.1.0.audit
14、CIS_MS_Windows_Server_2008_R2_MS_Level_1_v3.1.0.audit
15、DISA_STIG_Server_2008_DC_v6r40.audit
16、DISA_STIG_Server_2008_MS_v6r40.audit
17、DISA_STIG_Server_2012_and_2012_R2_DC_v2r12.audit
18、DISA_STIG_Server_2012_and_2012_R2_MS_v2r12.audit
19、DISA_STIG_Windows_10_v1r13.audit
20、DISA_STIG_Windows_Server_2016_v1r4.audit
获取更多信息
Abusing Exchange: One API call away from Domain Admin
https://dirkjanm.io/abusing-exchange-one-api-call-away-from-domain-admin/
PrivExchange POC 攻击脚本
https://github.com/dirkjanm/privexchange/
文章来源:看雪学院