Pe 21 ianuarie 2019, un cercetător de securitate a publicat un scenariu de atac care permite unui utilizator care deține un cont Microsoft Exchange într-o companie să obțină ilegal privilegii de "administrator de domeniu" și, prin urmare, să dețină un control complet asupra Active Directory al companiei.
Multe surse transmit aceste informații, iar
acum există un risc semnificativ ca atacurile să apară. Este important
de reținut însă că riscul pentru moment este în mare parte un atac
intern: un hacker care a preluat controlul complet al unui computer din
cadrul companiei poate implementa cu ușurință acest atac pentru a-și
ridica privilegiile la "domain admin". Un atac direct din Internet pare
imposibil pentru moment.
Riscul de atac este încă
limitat, dar este important ca societățile să evalueze acest risc acum
și să investigheze măsurile de atenuare pe care le pot pune în aplicare.
Scenariul de atac este aproximativ după cum urmează:
•
Un utilizator maliţios utilizează caracteristica "EWS PushSubscription"
a serviciului Exchange pentru a solicita Exchange să îi trimită un
mesaj de notificare
• Când Exchange trimite această notificare
stației de lucru a utilizatorului, utilizatorul reutilizează pachetele
recepționate (care poarta acreditările serverului Exchange) pentru a
trimite cereri artizanale către serverul Active Directory (sau către
serverul LDAP asociat cu Active Directory)
• Deoarece Exchange are
privilegii ridicate în Active Directory, hacker-ul poate obține
privilegii complete pe Active Directory.
În prezent nu sunt disponibile patch-uri Microsoft pentru aceasta vulnerabilitate.
Pentru
moment, cea mai potrivită este filtrarea traficului de rețea pentru a
bloca serverul Exchange de la conexiunile inițiate către rețelele de
stații de lucru.