RU
01.02.2019

Vulnerabilitatea "EWS PushSubscription" în Microsoft Exchange

Pe 21 ianuarie 2019, un cercetător de securitate a publicat un scenariu de atac care permite unui utilizator care deține un cont Microsoft Exchange într-o companie să obțină ilegal privilegii de "administrator de domeniu" și, prin urmare, să dețină un control complet asupra Active Directory al companiei.

Multe surse transmit aceste informații, iar acum există un risc semnificativ ca atacurile să apară. Este important de reținut însă că riscul pentru moment este în mare parte un atac intern: un hacker care a preluat controlul complet al unui computer din cadrul companiei poate implementa cu ușurință acest atac pentru a-și ridica privilegiile la "domain admin". Un atac direct din Internet pare imposibil pentru moment.

Riscul de atac este încă limitat, dar este important ca societățile să evalueze acest risc acum și să investigheze măsurile de atenuare pe care le pot pune în aplicare.
Scenariul de atac este aproximativ după cum urmează:
•    Un utilizator maliţios utilizează caracteristica "EWS PushSubscription" a serviciului Exchange pentru a solicita Exchange să îi trimită un mesaj de notificare
•    Când Exchange trimite această notificare stației de lucru a utilizatorului, utilizatorul reutilizează pachetele recepționate (care poarta acreditările serverului Exchange) pentru a trimite cereri artizanale către serverul Active Directory (sau către serverul LDAP asociat cu Active Directory)
•    Deoarece Exchange are privilegii ridicate în Active Directory, hacker-ul poate obține privilegii complete pe Active Directory.

În prezent nu sunt disponibile patch-uri Microsoft pentru aceasta vulnerabilitate.
Pentru moment, cea mai potrivită este filtrarea traficului de rețea pentru a bloca serverul Exchange de la conexiunile inițiate către rețelele de stații de lucru.

Subiecte asemănătoare

Buletin informativ

Primeşte ştiri de top direct pe email