Exchange 2013 en nieuwer kwetsbaar voor NTLM relay-aanvallen

[Captain Kirk]

Microsoft Exchange 2013 en nieuwer zijn kwetsbaar voor NTLM relay-aanvallen, waardoor een aanvaller op afstand systemen kan overnemen. Een praktische oplossing is nog niet voorhanden, wel verschillende workarounds, zo meldt het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit.

Door de kwetsbaarheid kan een gebruiker met een mailbox, of een aanvaller die hier toegang toe heeft, domeinbeheerder worden. Volgens onderzoeker Dirk-jan Mollema is de aanval, genaamd "PrivExchange", bij de standaardinstallatie van Exchange mogelijk. De onderzoeker zegt dat bij waarschijnlijk 90 procent van de organisaties die hij heeft gezien en van Exchange gebruikmaken de aanval een aanvaller domeinbeheerder zou maken.

Exchange ondersteunt een programmeerinterface (API) genaamd Exchange Web Services (EWS). Eén van de functies van deze API kan worden gebruikt om de Exchange-server met een willekeurige website verbinding te laten maken. Voor de verbinding wordt gebruik gemaakt van NTLM-authenticatie. De NT LAN Manager (NTLM), en diens opvolger NTLMv2, is een challenge-en-response protocol voor het inloggen op Microsoft-accounts.

Vanaf Exchange 2013 maakt de NTLM-authenticatie over http geen gebruik van de NTLM Sign en Seal flags. Hierdoor zijn de authenticatiepogingen kwetsbaar voor NTLM relay-aanvallen. Een aanvaller die inloggegevens voor een Exchange-mailbox heeft en met zowel een Microsoft Exchange-server als een Windows-domeincontroller kan communiceren, kan vervolgens beheerdersrechten krijgen.

Een aanvaller kan via de functies van de API de Exchange-server met zijn machine verbinding laten maken. Hierbij verstuurt de Exchange-server de NTLM-inloggegevens. Deze gegevens kan de aanvaller weer gebruiken om bij de domeincontroller in te loggen, zo laat het Internet Storm Center weten.

Ook zou een aanvaller zonder Exchange-wachtwoord dezelfde aanval kunnen uitvoeren door een smb naar http relay-aanval te gebruiken, zolang ze zich in hetzelfde netwerksegment als de Exchange-server bevinden. Volgens het CERT/CC zijn er geen praktische oplossingen voor het probleem beschikbaar. Wel kunnen organisaties verschillende workarounds toepassen, zoals het uitschakelen van EWS push/pull subscriptions en het verwijderen van de privileges die Exchange op een domeinobject heeft. Ook Mollema beschrijft verschillende workarounds die organisaties kunnen toepassen.

 

 

bron: security.nl