вторник, 26 февраля 2019 г.

Взломали Microsoft Exchange Server - что делать!?


В Exchange была найдена уязвимость, позволяющая обычному пользователю получить права доменного администратора. Уязвимость базируется на использовании NTLM over HTTP, NTLM relaying и того факта, что Exchange by-design обладает слишком высоким набором привилегий по отношению к AD. Всё это вкупе привело к тому, что был найден способ заставить Exchange пройти NTLM авторизацию и аутентифицировать злоумышленника. То есть передать проверку подлинности NTLM обратно в Exchange (это называется атакой отражения), и выдать себя за других пользователей. В качестве краткой иллюстрации процесса часто приводится следующая картинка.

Когда у злоумышленника есть подключенный клиент, желающий пройти аутентификацию, он может легко переслать 3 сообщения на сервер между клиентом и сервером, пока не завершится цикл «challenge-response».
В момент аутентификации соединения злоумышленник может просто отправить клиенту сообщение об ошибке или сбросить соединение. После этого злоумышленник может использовать сеанс для взаимодействия с сервером из контекста пользователя, от которого была передана аутентификация.

На GitHub-е уже можно найти утилиты помогающие это сделать, а Интернет пестрит статьями на этот счёт. Для устранения уязвимости Microsoft выпустила исправления. Но на этот раз это не просто обычные HotFix (RU), их недостаточно просто установить, т.к. они вносят серьёзные архитектурные изменения. В дополнение к ним потребуется выполнить /PrepareAD, /PrepareDomain и сброс учётной записи компьютера (сервера Exchange). Более детальное изучение вопроса предлагаю начать с поста в блоге команды разработчиков по ссылке ниже.