Exchange 2013 en nieuwer kwetsbaar voor NTLM relay-aanvallen
Microsoft Exchange 2013 en nieuwer zijn kwetsbaar voor NTLM relay-aanvallen, waardoor een aanvaller op afstand systemen kan overnemen. Een praktische oplossing is nog niet voorhanden, wel verschillende workarounds, zo meldt het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit.
Door de kwetsbaarheid kan een gebruiker met een mailbox, of een aanvaller die hier toegang toe heeft, domeinbeheerder worden. Volgens onderzoeker Dirk-jan Mollema is de aanval, genaamd "PrivExchange", bij de standaardinstallatie van Exchange mogelijk. De onderzoeker zegt dat bij waarschijnlijk 90 procent van de organisaties die hij heeft gezien en van Exchange gebruikmaken de aanval een aanvaller domeinbeheerder zou maken.
Exchange ondersteunt een programmeerinterface (API) genaamd Exchange Web Services (EWS). Eén van de functies van deze API kan worden gebruikt om de Exchange-server met een willekeurige website verbinding te laten maken. Voor de verbinding wordt gebruik gemaakt van NTLM-authenticatie. De NT LAN Manager (NTLM), en diens opvolger NTLMv2, is een challenge-en-response protocol voor het inloggen op Microsoft-accounts.
Vanaf Exchange 2013 maakt de NTLM-authenticatie over http geen gebruik van de NTLM Sign en Seal flags. Hierdoor zijn de authenticatiepogingen kwetsbaar voor NTLM relay-aanvallen. Een aanvaller die inloggegevens voor een Exchange-mailbox heeft en met zowel een Microsoft Exchange-server als een Windows-domeincontroller kan communiceren, kan vervolgens beheerdersrechten krijgen.
Een aanvaller kan via de functies van de API de Exchange-server met zijn machine verbinding laten maken. Hierbij verstuurt de Exchange-server de NTLM-inloggegevens. Deze gegevens kan de aanvaller weer gebruiken om bij de domeincontroller in te loggen, zo laat het Internet Storm Center weten.
Ook zou een aanvaller zonder Exchange-wachtwoord dezelfde aanval kunnen uitvoeren door een smb naar http relay-aanval te gebruiken, zolang ze zich in hetzelfde netwerksegment als de Exchange-server bevinden. Volgens het CERT/CC zijn er geen praktische oplossingen voor het probleem beschikbaar. Wel kunnen organisaties verschillende workarounds toepassen, zoals het uitschakelen van EWS push/pull subscriptions en het verwijderen van de privileges die Exchange op een domeinobject heeft. Ook Mollema beschrijft verschillende workarounds die organisaties kunnen toepassen.
2.) http of https hierin boeit niet.
2.) http of https hierin boeit niet.
Precies, mensen zien in de plaatjes alleen HTTP staan en concluderen direct dat het om port 80 gaat... Lezen dus niet verder.
Inderdaad dit geldt niet voor Exchange Online (wel/niet gebundeld in Microsoft/Office 365)
2.) http of https hierin boeit niet.
Precies, mensen zien in de plaatjes alleen HTTP staan en concluderen direct dat het om port 80 gaat... Lezen dus niet verder.
Inderdaad dit geldt niet voor Exchange Online (wel/niet gebundeld in Microsoft/Office 365)
Impact
An attacker that has credentials for an Exchange mailbox and also has the ability to communicate with both a Microsoft Exchange server and a Windows domain controller may be able to gain domain administrator privileges. It is also reported that an attacker without knowledge of an Exchange user's password may be able to perform the same attack by using an SMB to HTTP relay attack as long as they are in the same network segment as the Exchange server.
2.) http of https hierin boeit niet.
Precies, mensen zien in de plaatjes alleen HTTP staan en concluderen direct dat het om port 80 gaat... Lezen dus niet verder.
Inderdaad dit geldt niet voor Exchange Online (wel/niet gebundeld in Microsoft/Office 365)
Impact
An attacker that has credentials for an Exchange mailbox and also has the ability to communicate with both a Microsoft Exchange server and a Windows domain controller may be able to gain domain administrator privileges. It is also reported that an attacker without knowledge of an Exchange user's password may be able to perform the same attack by using an SMB to HTTP relay attack as long as they are in the same network segment as the Exchange server.
Toch zie ik nergens port 80 staan zoals de opmerkingen hierboven melden met het internet...
- : je Exchange server toegankelijk maken via poort 80 voor de buiten wereld is een "Red Flag"."
- Wie zet zijn Exchange open op http vraagt erom
NTLM is ook niet direct het probleem, maar wel de onvolledige implementatie in het product Exchange
2.) http of https hierin boeit niet.
Precies, mensen zien in de plaatjes alleen HTTP staan en concluderen direct dat het om port 80 gaat... Lezen dus niet verder.
Inderdaad dit geldt niet voor Exchange Online (wel/niet gebundeld in Microsoft/Office 365)
Hoe moet dit dan gelezen worden? Ik ben niet bij machten om het te testen. Mijn exchange servers staan HTTP niet toe, maar maakt dit ze daarmee niet kwetsbaar?
Dan was dit toch 1 van de adviezen geweest die alle partijen hadden moeten geven? Disable HTTP! net zoals NTLM btw?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.