Дыра в Microsoft Exchange позволяла любому желающему стать админом домена

Опубликовано at 13:26
49 0

Microsoft Exchange Server — программный продукт для обмена сообщениями и совместной работы — начиная с версии 2013 и старше, подвержен cthmtpyjq уязвимости, получившей название PrivExchange.

Этот баг (или, точнее, комбинация багов) позволяет атакующему повысить привилегии любого аккаунта до администратора на контроллере домена, и для его эксплуатации достаточно простой PoC Python-утилиты, опубликованной ИБ-специалистами.

Процесс атаки предполагает эксплуатацию не одной, а сразу трех проблем – высоких привилегий Exchange Server, уязвимости протокола NTLM к атакам повторного воспроизведения и функции, предоставляющей атакующему с учетной записью Exchange возможность авторизации.

Основная из них, по словам экспертов, заключается в установленных по умолчанию высоких привилегиях доменной службы Active Directory. Группа Exchange Windows Permissions обладает правом WriteDACL (право на выдачу прав) на объект Domain в Active Directory, что позволяет любому участнику группы изменять привилегии домена, в том числе на выполнение DCSync операций.

Таким образом атакующий может синхронизировать хеши паролей пользователей Active Directory и под их именем авторизоваться в любом сервисе, использующем протоколы NTLM (разработанный Microsoft протокол сетевой аутентификации) или Kerberos. Атака предусматривает использование двух инструментов privexchange.py и ntlmrelayx.py.

В настоящее время представители Microsoft не назвали точные сроки устранения проблемы, возможно патч для нее войдет в февральское обновление.

Уязвимости нулевого дня в популярных продуктах не такая уж редкость даже сегодня. Та же Microsoft в общей сложности в декабрьском обновлении устранила 39 уязвимостей в ряде продуктов, в том числе проблему повышения привилегий (CVE-2018-8611) в ядре Windows, которую активно эксплуатируют хакеры.

Ранее эту уязвимость выявили специалисты «Лаборатории Касперского». По их словам, она использовалась в атаках тех же двух кибергруппировок, ранее эксплуатировавших уязвимость CVE-2018-8589, исправленную в ноябре текущего года. В рамках декабрьского «вторника исправлений» компания также исправила ряд критических уязвимостей в движке Windows VBScript, Microsoft Office и Internet Explorer.

Свою пачку обновлений выпустила под конец 2018 года и компания Adobe, суммарно залатав 87 брешей. При этом около половины из них грозят исполнением произвольного кода и признаны критическими. Пожалуйста, не забывайте своевременно обновлять свой ПК!

Подписываемся, следим @CyberAgency

Related Post

Добавить комментарий