Microsoft Exchange は現在、メールボックスを持つすべてのユーザーがドメイン管理者になれる権限昇格攻撃に対して脆弱であるようです。
オランダのFox-ITのセキュリティ研究者、Dirk-jan Mollema氏は木曜日、概念実証コードと、3つの別々の問題の相互作用を伴う攻撃の説明を公開した。
Mollema 氏によると、主な問題は、Active Directory ドメインにおいて Exchange がデフォルトで高い権限を持っていることです。
「このExchange Windows PermissionsグループはWriteDaclActive Directory 内のドメイン オブジェクトへのアクセス権を持っており、これによりこのグループのどのメンバーもドメイン権限を変更でき、その中には DCSync 操作を実行する権限も含まれる」と彼は投稿で説明した。
これにより、攻撃者はドメインコントローラの操作を通じてActive Directoryユーザーのハッシュ化されたパスワードを同期できます。これらのハッシュ化されたパスワードにアクセスすることで、攻撃者はユーザーになりすまし、そのドメイン内のNTLM(Microsoft認証プロトコル)またはKerberos認証を使用する任意のサービスに認証できるようになります。
モレマ氏は、タイムゾーンの違いとメディア担当者を関与させる必要があったため、すぐには仕事について話すことができなかった。
この攻撃は、2 つの Python ベースのツール (privexchange.pyおよび) に依存していますntlmrelayx.py。この攻撃は、Windows Server 2012 R2 上の Exchange 2013 (CU21) でテストされ、(完全にパッチ適用された) Windows Server 2016 DC および Windows Server 2016 上の Exchange 2016 (CU11) に中継され、さらに完全にパッチ適用された Server 2019 DC に中継されました。
モレマ氏は、NTLM を使用すると、攻撃者のマシンへの接続時に行われる自動 Windows 認証を、ネットワーク上の他のマシンに転送することが可能になると述べた。
2019年へようこそ: Exchangeサーバーがメールによって乗っ取られる可能性あり(その他のバグも修正が必要)
続きを読む
では、Exchange に攻撃者を認証させるにはどうすればよいのでしょうか。Mollema 氏は、PushSubscriptionリフレクション攻撃を使用して Exchange API 経由で HTTP 経由の任意の URL を使用して Exchange 認証を取得する方法を発見した ZDI 研究者を紹介しました。
代わりにこの手法を使用して LDAP に対してリレー攻撃を実行し、Exchange の高いデフォルトの権限を利用すると、攻撃者が DCSync 権限を取得できる可能性があります。
Mollema氏は自身の投稿で、この攻撃に対する潜在的な緩和策をいくつか挙げています。具体的には、ドメインオブジェクトにおけるExchange権限の削減、LDAP署名とチャネルバインディングの有効化、Exchangeサーバーが任意のポートに接続できないようにブロックする、IISのExchangeエンドポイントで認証の拡張保護を有効にする、リレーを許可するレジストリキーを削除する、SMB署名を強制する、といった対策です。
マイクロソフトはThe Registerに送った電子メールの声明で、モレマ氏が説明した特定の脆弱性についてはコメントを避けたが、その控えめで内容のない返答の文言から、同社が 2 月に修正プログラムをリリースする可能性があることが示唆されている。
「マイクロソフトはセキュリティに強いコミットメントを持っており、影響を受けたデバイスを可能な限り迅速に調査し、積極的にアップデートを実施してきた実績があります」とマイクロソフトの広報担当者は述べています。「当社の標準的な方針では、毎月第2火曜日のアップデートチューズデーにセキュリティアップデートをリリースしています。」®
