Microsoft Exchange-lek geeft aanvallers administratorrechten

Een probleem met Microsoft Exchange stelt een hacker in staat om via een combinatie van exploits administratorrechten te verwerven. Een patch zou onderweg zijn.

Microsoft Exchange is kwetsbaar voor een aanval waarbij een hacker voor zichzelf administratorprivileges kan verwerven door middel van een API-call. Dat ontdekte Dirk-jan Mollema, beveiligingsonderzoeker bij het Nederlandse securitybedrijf Fox-IT. In een blogpost legt hij het probleem in technisch detail uit. Mollema combineerde drie kwetsbaarheden tot een werkbare aanval die zelfs up to date Exchange-servers kan verschalken.

Te hoge privileges

Een eerste probleem is volgens de onderzoeker dat Exchange-servers standaard erg hoge privileges hebben. Vervolgens is Microsofts eigen NTLM-authenticatie kwetsbaar voor zogenaamde relay-aanvallen. Tot slot heeft Exchange een functie die het mogelijk maakt voor een aanvaller om zich te identificeren met het account van een Exchange-server.

De hoge privileges zijn de kern van het probleem. De servers hebben standaard voldoende rechten om binnen de Active Directory privileges aan te passen. Dat laat de servers in theorie toe om legitiem DCSync-operaties uit te voeren. Dat type operatie zou in principe voorbehouden moeten zijn voor de Domain Controller. Door DCSync te misbruiken, is het mogelijk om gehashte wachtwoorden te synchroniseren. Op zich is bovenstaande geen ramp, zolang niemand een manier vindt om het effectief te misbruiken.

NTLM relay

Om een aanval uit te voeren, moet een hacker het NTLM-authenticatieprotocol misbruiken. NTLM-relaying is daarvoor perfect. In de meeste organisaties is SMB signing niet ingeschakeld, wat betekent dat een hacker zich in een authenticatieprocedure kan wringen, en die authenticatie kan onderscheppen.

Om administratorrechten te verwerven moet een hacker dus toegang krijgen tot de authenticatiegegevens van een (te) geprivilegieerde exchange-server, zodat hij vervolgens DCSync kan misbruiken om de nodige wachtwoorden te bemachtigen. NTLM relaying biedt de oplossing, maar één stuk van de puzzel ontbreekt nog: Exchange moet een authenticatie starten.

Mollema vond hiervoor de oplossing bij een niet nader genoemde onderzoeker bij ZDI. Die ontdekte een kwetsbaarheid waarbij hij via een URL en http de PushSubscription-functie van Exchange kon misbruiken. Via die kwetsbaarheid start de procedure, laat de aanvaller zich authentiseren, en verwerft hij uiteindelijk admin-rechten.

Tegenmaatregelen

Microsoft suggereerde in erg vage bewoordingen aan The Register dat een patch voor het probleem wel eens beschikbaar kan komen tijdens de volgende patch Tuesday. In tussentijd kan je als administrator enkele maatregelen nemen. Om te beginnen is het een goed idee om de Domain-privileges bij Exchange weg te nemen. LDAP signing en LDAP channel binding zorgen dan weer voor imuniteit tegen de relay-aanval. Door Exchange te beletten van verbinding te maken via niet gedefinieerde poorten, krijgt de hacker het ook al moeilijk. Als EWS Push subscriptions niet in gebruik zijn in je organisatie, kan je de functie uitschakelen om de aanval zo onmogelijk te maken. Tot slot neutraliseert ook SMB signing de kansen van de aanvaller.

Gerelateerd: Office 365 ligt nog steeds plat in grote delen van België en Europa (update)