Tấn công leo thang đặc quyền Microsoft Exchange 2013 thông qua NTLM

Tấn công leo thang đặc quyền Microsoft Exchange 2013 thông qua NTLM

January 30, 2019 | vietsunshine

Nhà nghiên cứu an ninh mạng cảnh báo, Microsoft Exchange 2013 và các phiên bản mới hơn cho phép kẻ tấn công leo thang các đặc quyền khi thực hiện cuộc tấn công chuyển tiếp NT LAN Manager (NTLM).

Theo Dirk-jan Mollema, người đã phát hiện ra lỗ hổng bảo mật, cuộc tấn công trên thực tế là sự kết hợp của nhiều lỗ hổng đã biết và có thể được bất kỳ người dùng nào sử dụng hộp thư để nâng cấp quyền truy cập vào Quản trị viên tên miền (Domain Admin).

Vấn đề đầu tiên là, trong các tổ chức sử dụng Active Directory và Exchange, các máy chủ Exchange có các đặc quyền đủ cao để cho phép quản trị viên trên máy chủ Exchange leo thang lên Quản trị viên tên miền. Với lỗ hổng xác thực tấn công chuyển tiếp NTLM, ai đó có thể yêu cầu Exchange xác thực một URL tùy ý qua HTTP thông qua tính năng PushSubcrip, nhà nghiên cứu nói.

“Các kết nối được thực hiện bằng tính năng PushSubcription sẽ cố gắng giao dịch với máy chủ web tùy ý bằng xác thực NTLM. Bắt đầu với Microsoft Exchange 2013, xác thực NTLM qua HTTP không thể đặt cờ Dấu và ký hiệu NTLM (NTLM Sign and Seal flags). Việc thiếu tín hiệu làm cho nỗ lực xác thực này dễ bị tổn thương trước các cuộc tấn công chuyển tiếp NTLM,” ghi chú lỗ hổng CERT/CC.

Khả năng buộc Exchange xác thực thông qua tính năng PushSubcription ban đầu được phát hiện bởi các nhà nghiên cứu với ZDI, người đã sử dụng nó để thực hiện một cuộc tấn công phản chiếu (họ đã chuyển tiếp xác thực NTLM trở lại Exchange).

Tuy nhiên, Mollema đã phát hiện ra rằng điều này có thể được kết hợp với các đặc quyền cao trong Exchange để thực hiện một cuộc tấn công chuyển tiếp và giành quyền DCSync. Một tùy chọn trong dịch vụ thông báo đẩy cho phép gửi tin nhắn sau mỗi X phút và cuộc tấn công đảm bảo Exchange kết nối ngay cả khi không có hoạt động nào trong hộp thư đến.

“Theo mặc định, Microsoft Exchange được cấu hình với các đặc quyền mở rộng đối với đối tượng Miền trong Active Directory. Vì nhóm Exchange Windows Permissions có quyền truy cập WriteDacl vào đối tượng Miền, điều này có nghĩa là các đặc quyền máy chủ Exchange có được khi sử dụng lỗ hổng này có thể được sử dụng để có được các đặc quyền Quản trị viên miền cho miền chứa máy chủ Exchange,” CERT/CC  giải thích.

Mollema cũng tiết lộ rằng cuộc tấn công có thể được thực hiện bằng các thông tin bị xâm phạm, nhưng việc một hacker ở vị trí thực hiện một cuộc tấn công mạng có thể kích hoạt Exchange để xác thực ngay cả khi họ không có thông tin xác thực.

Một số tổ chức giảm thiểu có thể áp dụng bao gồm loại bỏ các đặc quyền cao không cần thiết mà Exchange có trên đối tượng Miền, cho phép LDAP signing và cho phép liên kết kênh LDAP để ngăn chuyển tiếp sang LDAP và LDAPS tương ứng và chặn các máy chủ Exchange tạo kết nối tới các máy trạm tùy ý.

CERT/CC cũng lưu ý rằng, mặc dù không biết về giải pháp thực tế cho vấn đề này, một cách giải quyết được phát triển bởi bên thứ ba vẫn tồn tại và các tổ chức bị ảnh hưởng nên xem xét áp dụng các biện pháp giảm thiểu do Mollema đề xuất.

Tags: , ,