Cookien konfigurazioa

Cookie teknikoak

Aktiboak
Ikusi Cookiak

Erabiltzaileari web-orriaren bidez nabigatzeko eta bertan dauden aukerak edo zerbitzuak erabiltzeko aukera ematen diotenak dira, editoreak web-orriaren kudeaketa eta operatiboa ahalbidetzeko eta haren funtzioak eta zerbitzuak gaitzeko erabiltzen dituenak barne.

Cookie analitikoak

Ez aktiboak
Ikusi Cookiak

Webgunearen erabiltzaileen portaeraren jarraipena eta azterketa egiteko aukera ematen diote horien arduradunari. Cookie mota horien bidez bildutako informazioa webgunearen jarduera neurtzeko erabiltzen da, zerbitzuaren erabiltzaileek egiten dituzten erabilera-datuen analisiaren arabera hobekuntzak sartzeko

COOKIE OHARRA

SPRIren jabetzako web orri honek bere cookieak eta hirugarrengoenak erabiltzen ditu nabigatzea ahalbidetzeko, informazio estatistikoa osatzeko, zure nabigazio-ohiturak aztertzeko eta horien araberako publizitatea zuri igortzeko xedez. Cookie guztien erabilera baimentzeko, Onartu aukeran klik egin dezakezu; bestela, zein cookie-mota onartu eta zeini uko egingo diozun hauta dezakezu Cookieak Konfiguratu aukeraren bitartez. Halaber, informazio gehiago jaso dezakezu gure Cookie Politikan.Cookieak KonfiguratuOnartu

Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

NTLM relay erasoen aurrean Microsoft Exchange 2013 eta ondorengoak ahul

Argitalpen data: 2019/01/29

Garrantzia: Handia

Kaltetutako baliabideak:

  • Microsoft Exchange 2013 eta ondorengoak.

Azalpena:

Microsoft Exchange 2013 eta ondorengoek ezin dute sinadura eta zigiluaren adierazlerik ezarri NTLM autentifikazioaren trafikoan. Hori baliatuz urruneko erasotzaile batek Exchange zerbitzariaren pribilegioak eskura litzake Domain objektuari dagokionez Active Directory-n.

Konponbidea:

Oraindik ez dago konponbide praktikorik ahultasun horretarako.

Ondorengo konponbide alternatiboak azter daitezke:

  • EWSren push/pull harpidetzak erabiltzen ez badira, eraso hori hasi duen PushSubscription APIrako deia blokea daiteke. Horretarako ondoko komandoak exekuta itzazu Exchangeren administrazioko Shell leiho batetik:
    • New-ThrottlingPolicy -Name NoEWSS Subscription -ThrottlingPolicyScope Organization -EwsMaxSubscriptions 0
    • Restart-WebAppPool -Name MSExchangeServicesAppPool
  • Exchangeren pribilegioak ezabatu domain objektuan (konponbide hau ahultasunaren aurkitzaileak gomendatu du; gomendagarria da edozein konponbide frogatzea zure frogen ingurunean, ondo funtzionatzen dutela ziurtatzeko):
    • PowerShell-en script hau Exchange Server sisteman eta Domain Controller-en exekuta daiteke. Modu lehenetsian, sarbide kontrol sarrera ahulak bilatuko ditu oraingo direktorio aktiboan. Domeinu administratzailearen pribilegioekin eta -Fix markarekin exekutatzen denean, script honek ezabatu egingo du Exchangek domain objektuan idazteko duen gaitasuna.
    • Kontuan izan Get-ADDomainController ez ezagutzean akats bat aurkituz gero, ActiveDirectory PowerShell modulua instalatu eta inportatu beharko duzula eta, azkenik Fix-DomainObjectDACL.ps1 exekutatu:
      • Import-Module ServerManager
      • Add-WindowsFeature RSAT-AD-PowerShell
      • Import-Module ActiveDirectory
      • . Fix-DomainObjectDACL.ps1
    • Scriptak informatzen badu ACE akastun bat aurkitu duela, ondokoa exekutatu:
      • .Fix-DomainObjectDACL.ps1 -Fix
    • PowerShell konfiguratu daiteke erabiltzaileak emandako .ps1 fitxategien exekuzioa blokeatzeko. Kasua hori bada, lehenengo bila ezazu oraingo PowerShell-en zure exekuzio politika:
      • Get-ExecutionPolicy
    • Fix-DomainObjectDACL.ps1 scriptaren exekuzioa aldi baterako baimentzea hau exekutatuz:
      • Set-ExecutionPolicy unrestricted
    • Fix-DomainObjectDACL.ps1 scripta exekutatzen amaitu ondoren, politika berrezarri balio originalean berriz, Get-ExecutionPolicy-k adierazten duen moduan:
      • Set-ExecutionPolicy [POLICY]
  • Exchangek Domain objektuaren gainean dituen behargabeko pribilegioak ezabatzea.
  • LDAP sinadura gaitzea eta LDAP kanalen lotura gaitzea, LDAP eta LDAPSetarako birtransmisioa saihesteko, hurrenez hurren.
  • Exchange zerbitzariak blokeatzea lan estazioetarako konexiorik ezin egin izan dezaten ataka arbitrarioetan.
  • IISn Exchangeren endpointetan autentifikaziorako babes zabaldua gaitzea (baina ez Exchangeren endpointetan, Exchangek funtzionatzeari utziko bailioke). Horrek kanalen lotura parametroak egiaztatuko ditu NTLM autentifikazioan, NTLM autentifikazioa TLS konexio batera lotzen duena eta Exchangeren web zerbitzuetarako birtransmisioa saihesten duena.
  • Exchangeren zerbitzarirako birtransmisioa posible egiten duen erregistroaren gakoa ezabatzea, CVE-2018-8518rako Microsoften arintzean azaltzen den moduan.
  • Exchange zerbitzarietan SMB saio hasiera ezartzea (eta ahal dela domeinuko gainerako zerbitzari eta lan estazioetan ere bai), SMBra protokoloen arteko birtransmisio erasoak saihesteko.

Xehetasuna:

  • Microsoft Exchangek Exchange Web Services (EWS) izeneko API bat onartzen du. EWSren APIaren funtzioetako bat, PushSubscription izenekoa, Exchange zerbitzaria webgune arbitrario batera konekta dadin erabil daiteke, eta orduan konexio horiek web zerbitzari arbitrarioarekin negoziatzen saiatuko dira NTLM autentifikazioaren bidez. Microsoft Exchange 2013tik aurrera, HTTP gaineko NTLM autentifikazioak huts egiten du NTLM sinadura eta zigilu adierazleak ezartzean, eta horrek NTLM birtransmisio erasoen aurrean ahula izatea eragiten du.
  • Microsoft Exchange bere modu lehenetsian konfiguratuta dago Active Directory-n pribilegioekin Domain objektuari dagokionez. Exchange Windows Permissions taldeak WriteDacl sarbidea duenez Domain objektura, ahultasun honen bidez lortutako Exchange zerbitzariaren pribilegioak erabil litezke administratzaile pribilegioak eskuratzeko Exchange zerbitzari ahula dagoen domeinuan.
  • Exchange postontzi baterako kredentzialak dituen erasotzaile batek, eta era berean Microsoft Exchange zerbitzari batekin eta Windowseko domeinu kontrolatzaile batekin komunikatzeko gaitasuna duena, domeinu administratzailearen pribilegioak lor litzake. Pasahitza ez daukan erasotzaile batek ere SMBtik HTTPrako birtransmisio eraso bat egin dezake, baldin eta Exchange zerbitzariaren sare segmentu berberean badaude.
Etiketak: Posta elektronikoa, Microsoft, Ahultasuna