Microsoft Exchange Server 2013, 2016 및 2019에서 새로운 취약점이 발견되었습니다.이 새로운 취약점을 PrivExchange 라고 하며 실제로는 제로 데이 취약점입니다.

이 보안 허점을 악용 한 공격자는 간단한 Python 도구를 사용하여 Exchange 사서함 사용자의 자격 증명을 사용하여 도메인 컨트롤러 관리자 권한을 얻을 수 있습니다.

이 새로운 취약점은 일주일 전 개인 블로그에서 Dirk-Jan Mollema 연구원이 강조했습니다. 그는 블로그에서 PrivExchange 제로 데이 취약점에 대한 중요한 정보를 공개합니다.

그는 사서함이있는 모든 사용자의 공격자를 Domain Admin으로 에스컬레이션하기 위해 결합 된 3 개의 구성 요소로 구성되어 있는지 여부에 관계없이 이것이 단일 결함이 아니라고 말합니다.

이 세 가지 결함은 다음과 같습니다.

• Exchange 서버에는 기본적으로 높은 권한이 있습니다
• NTLM 인증은 릴레이 공격에 취약
• Exchange에는 Exchange 서버의 컴퓨터 계정으로 공격자를 인증 할 수있는 기능이 있습니다.

연구원에 따르면 전체 공격은 privexchange.py 및 ntlmrelayx라는 두 도구를 사용하여 수행 할 수 있습니다. 그러나 공격자에게 필요한 사용자 자격 증명이없는 경우에도 동일한 공격이 가능합니다.

이러한 상황에서 수정 된 httpattack.py를 ntlmrelayx와 함께 사용하여 자격 증명없이 네트워크 관점에서 공격을 수행 할 수 있습니다.

Microsoft Exchange Server 취약성을 완화하는 방법

이 제로 데이 취약점을 해결하기위한 패치는 아직 Microsoft에서 제안하지 않았습니다. 그러나 같은 블로그 게시물에서 Dirk-Jan Mollema는 서버를 공격으로부터 보호하기 위해 적용 할 수있는 완화 조치를 설명합니다.

제안 된 완화 방법은 다음과 같습니다.

• 교환 서버가 다른 워크 스테이션과의 관계를 설정하지 못하도록 차단
• 레지스터 키 제거
• Exchange 서버에서 SMB 서명 구현
• Exchange 도메인 개체에서 불필요한 권한 제거
• Exchange 백엔드를 제외하고 IIS의 Exchange 끝점에서 인증에 대한 확장 된 보호를 사용하면 Exchange가 중단 될 수 있습니다.

또한 Microsoft Server 2013 용 바이러스 백신 솔루션 중 하나를 설치할 수 있습니다.

PrivExchange 공격은 Exchange 2013, 2016 및 2019와 같은 완전히 패치 된 버전의 Exchange 및 Windows 서버 도메인 컨트롤러에서 확인되었습니다.