Une nouvelle vulnérabilité a été trouvée dans Microsoft Exchange Server 2013, 2016 et 2019. Cette nouvelle vulnérabilité, appelée PrivExchange, est en fait une vulnérabilité de type «jour zéro».

En exploitant cette faille de sécurité, un attaquant peut obtenir les privilèges d'administrateur du contrôleur de domaine en utilisant les informations d'identification d'un utilisateur de boîte aux lettres d'échange à l'aide d'un simple outil Python.

Un chercheur, Dirk-Jan Mollema, a souligné cette nouvelle vulnérabilité sur son blog personnel il y a une semaine. Dans son blog, il divulgue des informations importantes sur la vulnérabilité zero-day de PrivExchange.

Il écrit qu'il ne s'agit pas d'une seule faille, qu'elle soit composée de 3 composants qui sont combinés pour augmenter l'accès d'un attaquant à partir de n'importe quel utilisateur possédant une boîte aux lettres à l'administrateur de domaine.

Ces trois défauts sont:

• Les serveurs Exchange ont (trop) des privilèges élevés par défaut
• L'authentification NTLM est vulnérable aux attaques par relais
• Exchange possède une fonctionnalité qui permet de s’authentifier auprès d'un attaquant avec le compte d'ordinateur du serveur Exchange.

Selon le chercheur, l'ensemble de l'attaque peut être effectué à l'aide des deux outils nommés privexchange.py et ntlmrelayx. Cependant, la même attaque est toujours possible si un attaquant ne dispose pas des informations d’identité utilisateur nécessaires.

Dans ce cas, httpattack.py modifié peut être utilisé avec ntlmrelayx pour exécuter l'attaque du point de vue du réseau sans informations d'identification.

Comment atténuer les vulnérabilités de Microsoft Exchange Server

Aucun correctif pour corriger cette vulnérabilité de jour zéro n'a encore été proposé par Microsoft. Cependant, dans le même article de blog, Dirk-Jan Mollema communique certaines mesures d’atténuation pouvant être appliquées pour protéger le serveur des attaques.

Les mesures d'atténuation proposées sont les suivantes:

• Empêcher les serveurs d'échange d'établir des relations avec d'autres postes de travail
• Éliminer la clé de registre
• Implémentation de la signature SMB sur des serveurs Exchange
• Suppression des privilèges inutiles de l'objet de domaine Exchange
• Activation de la protection étendue pour l’authentification sur les noeuds finaux Exchange dans IIS, à l’exclusion des points de terminaison Exchange, car cela casserait Exchange).

De plus, vous pouvez installer l'une de ces solutions antivirus pour Microsoft Server 2013.

Les attaques PrivExchange ont été confirmées sur les versions entièrement corrigées des contrôleurs de domaine des serveurs Exchange et Windows, tels que Exchange 2013, 2016 et 2019.