Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

NTLM relay erasoen aurrean Microsoft Exchange 2013 eta ondorengoak ahul

Argitalpen data: 2019/01/29

Garrantzia: Handia

Kaltetutako baliabideak:

  • Microsoft Exchange 2013 eta ondorengoak.

Azalpena:

Microsoft Exchange 2013 eta ondorengoek ezin dute sinadura eta zigiluaren adierazlerik ezarri NTLM autentifikazioaren trafikoan. Hori baliatuz urruneko erasotzaile batek Exchange zerbitzariaren pribilegioak eskura litzake Domain objektuari dagokionez Active Directory-n.

Konponbidea:

Oraindik ez dago konponbide praktikorik ahultasun horretarako.

Ondorengo konponbide alternatiboak azter daitezke:

  • EWSren push/pull harpidetzak erabiltzen ez badira, eraso hori hasi duen PushSubscription APIrako deia blokea daiteke. Horretarako ondoko komandoak exekuta itzazu Exchangeren administrazioko Shell leiho batetik:
    • New-ThrottlingPolicy -Name NoEWSS Subscription -ThrottlingPolicyScope Organization -EwsMaxSubscriptions 0
    • Restart-WebAppPool -Name MSExchangeServicesAppPool
  • Exchangeren pribilegioak ezabatu domain objektuan (konponbide hau ahultasunaren aurkitzaileak gomendatu du; gomendagarria da edozein konponbide frogatzea zure frogen ingurunean, ondo funtzionatzen dutela ziurtatzeko):
    • PowerShell-en script hau Exchange Server sisteman eta Domain Controller-en exekuta daiteke. Modu lehenetsian, sarbide kontrol sarrera ahulak bilatuko ditu oraingo direktorio aktiboan. Domeinu administratzailearen pribilegioekin eta -Fix markarekin exekutatzen denean, script honek ezabatu egingo du Exchangek domain objektuan idazteko duen gaitasuna.
    • Kontuan izan Get-ADDomainController ez ezagutzean akats bat aurkituz gero, ActiveDirectory PowerShell modulua instalatu eta inportatu beharko duzula eta, azkenik Fix-DomainObjectDACL.ps1 exekutatu:
      • Import-Module ServerManager
      • Add-WindowsFeature RSAT-AD-PowerShell
      • Import-Module ActiveDirectory
      • . Fix-DomainObjectDACL.ps1
    • Scriptak informatzen badu ACE akastun bat aurkitu duela, ondokoa exekutatu:
      • .Fix-DomainObjectDACL.ps1 -Fix
    • PowerShell konfiguratu daiteke erabiltzaileak emandako .ps1 fitxategien exekuzioa blokeatzeko. Kasua hori bada, lehenengo bila ezazu oraingo PowerShell-en zure exekuzio politika:
      • Get-ExecutionPolicy
    • Fix-DomainObjectDACL.ps1 scriptaren exekuzioa aldi baterako baimentzea hau exekutatuz:
      • Set-ExecutionPolicy unrestricted
    • Fix-DomainObjectDACL.ps1 scripta exekutatzen amaitu ondoren, politika berrezarri balio originalean berriz, Get-ExecutionPolicy-k adierazten duen moduan:
      • Set-ExecutionPolicy [POLICY]
  • Exchangek Domain objektuaren gainean dituen behargabeko pribilegioak ezabatzea.
  • LDAP sinadura gaitzea eta LDAP kanalen lotura gaitzea, LDAP eta LDAPSetarako birtransmisioa saihesteko, hurrenez hurren.
  • Exchange zerbitzariak blokeatzea lan estazioetarako konexiorik ezin egin izan dezaten ataka arbitrarioetan.
  • IISn Exchangeren endpointetan autentifikaziorako babes zabaldua gaitzea (baina ez Exchangeren endpointetan, Exchangek funtzionatzeari utziko bailioke). Horrek kanalen lotura parametroak egiaztatuko ditu NTLM autentifikazioan, NTLM autentifikazioa TLS konexio batera lotzen duena eta Exchangeren web zerbitzuetarako birtransmisioa saihesten duena.
  • Exchangeren zerbitzarirako birtransmisioa posible egiten duen erregistroaren gakoa ezabatzea, CVE-2018-8518rako Microsoften arintzean azaltzen den moduan.
  • Exchange zerbitzarietan SMB saio hasiera ezartzea (eta ahal dela domeinuko gainerako zerbitzari eta lan estazioetan ere bai), SMBra protokoloen arteko birtransmisio erasoak saihesteko.

Xehetasuna:

  • Microsoft Exchangek Exchange Web Services (EWS) izeneko API bat onartzen du. EWSren APIaren funtzioetako bat, PushSubscription izenekoa, Exchange zerbitzaria webgune arbitrario batera konekta dadin erabil daiteke, eta orduan konexio horiek web zerbitzari arbitrarioarekin negoziatzen saiatuko dira NTLM autentifikazioaren bidez. Microsoft Exchange 2013tik aurrera, HTTP gaineko NTLM autentifikazioak huts egiten du NTLM sinadura eta zigilu adierazleak ezartzean, eta horrek NTLM birtransmisio erasoen aurrean ahula izatea eragiten du.
  • Microsoft Exchange bere modu lehenetsian konfiguratuta dago Active Directory-n pribilegioekin Domain objektuari dagokionez. Exchange Windows Permissions taldeak WriteDacl sarbidea duenez Domain objektura, ahultasun honen bidez lortutako Exchange zerbitzariaren pribilegioak erabil litezke administratzaile pribilegioak eskuratzeko Exchange zerbitzari ahula dagoen domeinuan.
  • Exchange postontzi baterako kredentzialak dituen erasotzaile batek, eta era berean Microsoft Exchange zerbitzari batekin eta Windowseko domeinu kontrolatzaile batekin komunikatzeko gaitasuna duena, domeinu administratzailearen pribilegioak lor litzake. Pasahitza ez daukan erasotzaile batek ere SMBtik HTTPrako birtransmisio eraso bat egin dezake, baldin eta Exchange zerbitzariaren sare segmentu berberean badaude.
Etiketak: Posta elektronikoa, Microsoft, Ahultasuna