image

Exchange 2013 en nieuwer kwetsbaar voor NTLM relay-aanvallen

dinsdag 29 januari 2019, 12:37 door Redactie, 11 reacties
Laatst bijgewerkt: 29-01-2019, 15:07

Microsoft Exchange 2013 en nieuwer zijn kwetsbaar voor NTLM relay-aanvallen, waardoor een aanvaller op afstand systemen kan overnemen. Een praktische oplossing is nog niet voorhanden, wel verschillende workarounds, zo meldt het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit.

Door de kwetsbaarheid kan een gebruiker met een mailbox, of een aanvaller die hier toegang toe heeft, domeinbeheerder worden. Volgens onderzoeker Dirk-jan Mollema is de aanval, genaamd "PrivExchange", bij de standaardinstallatie van Exchange mogelijk. De onderzoeker zegt dat bij waarschijnlijk 90 procent van de organisaties die hij heeft gezien en van Exchange gebruikmaken de aanval een aanvaller domeinbeheerder zou maken.

Exchange ondersteunt een programmeerinterface (API) genaamd Exchange Web Services (EWS). Eén van de functies van deze API kan worden gebruikt om de Exchange-server met een willekeurige website verbinding te laten maken. Voor de verbinding wordt gebruik gemaakt van NTLM-authenticatie. De NT LAN Manager (NTLM), en diens opvolger NTLMv2, is een challenge-en-response protocol voor het inloggen op Microsoft-accounts.

Vanaf Exchange 2013 maakt de NTLM-authenticatie over http geen gebruik van de NTLM Sign en Seal flags. Hierdoor zijn de authenticatiepogingen kwetsbaar voor NTLM relay-aanvallen. Een aanvaller die inloggegevens voor een Exchange-mailbox heeft en met zowel een Microsoft Exchange-server als een Windows-domeincontroller kan communiceren, kan vervolgens beheerdersrechten krijgen.

Een aanvaller kan via de functies van de API de Exchange-server met zijn machine verbinding laten maken. Hierbij verstuurt de Exchange-server de NTLM-inloggegevens. Deze gegevens kan de aanvaller weer gebruiken om bij de domeincontroller in te loggen, zo laat het Internet Storm Center weten.

Ook zou een aanvaller zonder Exchange-wachtwoord dezelfde aanval kunnen uitvoeren door een smb naar http relay-aanval te gebruiken, zolang ze zich in hetzelfde netwerksegment als de Exchange-server bevinden. Volgens het CERT/CC zijn er geen praktische oplossingen voor het probleem beschikbaar. Wel kunnen organisaties verschillende workarounds toepassen, zoals het uitschakelen van EWS push/pull subscriptions en het verwijderen van de privileges die Exchange op een domeinobject heeft. Ook Mollema beschrijft verschillende workarounds die organisaties kunnen toepassen.

Image

Reacties (11)
29-01-2019, 15:35 door Anoniem
Geld dit ook voor Exchange in de cloud of Microsoft 356?
29-01-2019, 16:46 door Anoniem
??? - je Exchange server toegankelijk maken via poort 80 voor de buiten wereld is een "Red Flag".
29-01-2019, 21:13 door Anoniem
Wie zet zijn Exchange open op http vraagt erom
30-01-2019, 08:42 door Anoniem
is deze aanval nu wel of niet mogelijk via httpS ?
30-01-2019, 11:08 door Anoniem
1.) dit geldt niet voor Office 365.
2.) http of https hierin boeit niet.
30-01-2019, 12:01 door Anoniem
Door Anoniem: 1.) dit geldt niet voor Office 365.
2.) http of https hierin boeit niet.

Precies, mensen zien in de plaatjes alleen HTTP staan en concluderen direct dat het om port 80 gaat... Lezen dus niet verder.
Inderdaad dit geldt niet voor Exchange Online (wel/niet gebundeld in Microsoft/Office 365)
30-01-2019, 14:26 door Anoniem
Door Anoniem:
Door Anoniem: 1.) dit geldt niet voor Office 365.
2.) http of https hierin boeit niet.

Precies, mensen zien in de plaatjes alleen HTTP staan en concluderen direct dat het om port 80 gaat... Lezen dus niet verder.
Inderdaad dit geldt niet voor Exchange Online (wel/niet gebundeld in Microsoft/Office 365)


Impact
An attacker that has credentials for an Exchange mailbox and also has the ability to communicate with both a Microsoft Exchange server and a Windows domain controller may be able to gain domain administrator privileges. It is also reported that an attacker without knowledge of an Exchange user's password may be able to perform the same attack by using an SMB to HTTP relay attack as long as they are in the same network segment as the Exchange server.
30-01-2019, 14:44 door Anoniem
NTLM?!? Serieus? Zijn er nog beheerders, die dat toestaan?
30-01-2019, 21:13 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: 1.) dit geldt niet voor Office 365.
2.) http of https hierin boeit niet.

Precies, mensen zien in de plaatjes alleen HTTP staan en concluderen direct dat het om port 80 gaat... Lezen dus niet verder.
Inderdaad dit geldt niet voor Exchange Online (wel/niet gebundeld in Microsoft/Office 365)


Impact
An attacker that has credentials for an Exchange mailbox and also has the ability to communicate with both a Microsoft Exchange server and a Windows domain controller may be able to gain domain administrator privileges. It is also reported that an attacker without knowledge of an Exchange user's password may be able to perform the same attack by using an SMB to HTTP relay attack as long as they are in the same network segment as the Exchange server.

Toch zie ik nergens port 80 staan zoals de opmerkingen hierboven melden met het internet...
- : je Exchange server toegankelijk maken via poort 80 voor de buiten wereld is een "Red Flag"."
- Wie zet zijn Exchange open op http vraagt erom
31-01-2019, 10:01 door Anoniem
Exchange gebruikt standaard NTLM authenticatie; Kerberos kan, na configuratie alleen gebruikt worden voor interne werkplekken.
NTLM is ook niet direct het probleem, maar wel de onvolledige implementatie in het product Exchange
11-02-2019, 15:59 door Anoniem
Door Anoniem:
Door Anoniem: 1.) dit geldt niet voor Office 365.
2.) http of https hierin boeit niet.

Precies, mensen zien in de plaatjes alleen HTTP staan en concluderen direct dat het om port 80 gaat... Lezen dus niet verder.
Inderdaad dit geldt niet voor Exchange Online (wel/niet gebundeld in Microsoft/Office 365)

Hoe moet dit dan gelezen worden? Ik ben niet bij machten om het te testen. Mijn exchange servers staan HTTP niet toe, maar maakt dit ze daarmee niet kwetsbaar?

Dan was dit toch 1 van de adviezen geweest die alle partijen hadden moeten geven? Disable HTTP! net zoals NTLM btw?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.