Kerentanan baru telah ditemukan di Microsoft Exchange Server 2013, 2016 dan 2019. Kerentanan baru ini disebut PrivExchange dan sebenarnya merupakan kerentanan nol hari.

Memanfaatkan lubang keamanan ini, penyerang dapat memperoleh hak istimewa admin Kontroler Domain menggunakan kredensial pengguna kotak pesan pertukaran dengan bantuan alat Python sederhana.

Kerentanan baru ini disorot oleh seorang peneliti Dirk-Jan Mollema di blog pribadinya seminggu yang lalu. Dalam blognya, ia mengungkapkan informasi penting tentang PrivExchange kerentanan nol hari.

Dia menulis bahwa ini bukan cacat tunggal apakah terdiri dari 3 komponen yang digabungkan untuk meningkatkan akses penyerang dari setiap pengguna dengan kotak surat ke Domain Admin.

Tiga kelemahan ini adalah:

• Server Exchange memiliki (terlalu) hak istimewa tinggi secara default
• Otentikasi NTLM rentan terhadap serangan estafet
• Exchange memiliki fitur yang membuatnya mengotentikasi ke penyerang dengan akun komputer server Exchange.

Menurut peneliti, seluruh serangan dapat dilakukan dengan menggunakan dua alat bernama privexchange.py dan ntlmrelayx. Namun, serangan yang sama masih mungkin terjadi jika penyerang tidak memiliki kredensial pengguna yang diperlukan.

Dalam keadaan seperti itu, httpattack.py yang dimodifikasi dapat digunakan dengan ntlmrelayx untuk melakukan serangan dari perspektif jaringan tanpa kredensial.

Cara mengurangi kerentanan Microsoft Exchange Server

Belum ada patch untuk memperbaiki kerentanan zero-day ini yang diusulkan oleh Microsoft. Namun, dalam posting blog yang sama, Dirk-Jan Mollema mengkomunikasikan beberapa mitigasi yang dapat diterapkan untuk melindungi server dari serangan.

Mitigasi yang diusulkan adalah:

• Memblokir server pertukaran dari menjalin hubungan dengan workstation lain
• Menghilangkan kunci register
• Menerapkan penandatangan SMB pada server Exchange
• Menghapus hak istimewa yang tidak perlu dari objek domain Exchange
• Mengaktifkan Perlindungan yang Diperpanjang untuk Otentikasi pada titik akhir Exchange di IIS, tidak termasuk Exchange End End karena ini akan memecah Exchange).

Selain itu, Anda dapat menginstal salah satu solusi antivirus ini untuk Microsoft Server 2013.

Serangan PrivExchange telah dikonfirmasi pada versi penuh Exchange dan Windows server Domain Controllers seperti Exchange 2013, 2016 dan 2019.