TLP: White

Nivel de riesgo CVSS v3: 8.3[Alto]

Vector de ataque: Remoto
Objetivo: Obtener privilegios en servidor de Microsoft Exchange.

DESCRIPCIÓN

Se ha dado a conocer un escenario en el que un atacante podría abusar de las funcionalidades legítimas de los servidores Microsoft Exchange en combinación con otras vulnerabilidades conocidas para obtener privilegios elevados en el Directorio Activo. Lo anterior podría afectar la confidencialidad, integridad y disponibilidad de la información en el entorno comprometido, pues el ataque permite obtener acceso con los privilegios de un usuario administrador del dominio. Para realizar este ataque es necesario poder establecer comunicación tanto con el servidor de Microsoft Exchange como con un controlador de dominio de Windows y contar con credenciales de acceso al servicio de correo. Si no se cuenta con las credenciales de acceso mencionadas, es posible realizar el ataque desde el mismo segmento de red del servidor de Exchange.

Este ataque aprovecha que Microsoft Exchange está configurado de manera predeterminada con permisos para modificar el objeto “Dominio” existente en el Directorio Activo, posibilitando la elevación de privilegios de usuarios que de manera inicial cuentan con permisos restringidos. Esta configuración se combina con el uso incorrecto de la función “PushSubscription” disponible en una API soportada por Microsoft Exchange denominada Exchange Web Services (EWS). Esta función permite hacer que el servidor de Exchange se conecte con un servidor arbitrario y realice autenticaciones del tipo NTLM, que posibilita el acceso a un escenario en el que se realiza el reenvío de estos mensajes de autenticación para suplantar a un usuario, comúnmente conocido como un ataque de reenvío NTLM. A partir de Microsoft Exchange 2013, la autenticación NTLM sobre HTTP, como la utilizada por la función “PushSuscription”, realiza de manera errónea el establecimiento de las banderas de firmado y sellado NTLM que lo hace susceptible al tipo de ataques referenciado.

NIVEL DE RIESGO CVSS v3

8.3[Alto]. Valoración de CERT CC.

SISTEMA/TECNOLOGÍA AFECTADA:

  • Microsoft Exchange Server 2019
  • Microsoft Exchange Server 2016
  • Microsoft Exchange Server 2013

MEDIDAS DE MITIGACIÓN

  • Hasta el momento no se conoce una solución práctica que erradique o mitigue este problema al tratarse de un ataque que aprovecha un conjunto de vulnerabilidades. Sin embargo, existen medidas alternativas que deben considerarse:
    • Eliminar los privilegios innecesarios que Exchange tiene sobre los objetos de dominio.
    • Habilitar la firma LDAP y el enlace de canales LDAP para evitar el reenvío a LDAP y LDAPS, respectivamente.
    • Bloquear las conexiones a estaciones de trabajo en puertos arbitrarios realizadas por los servidores Exchange.
    • Eliminar la clave de registro que permite realizar el reenvío local de la autenticación NTLM en el servidor de Exchange, como se explica en la mitigación de Microsoft para CVE-2018-8518.
    • Implementar el firmado SMB en los servidores de Exchange (preferiblemente a todos los servidores y equipos disponibles en el dominio) para prevenir los ataque de reenvío entre protocolos.
    • Valorar el uso de las suscripciones EWS push/pull en el ambiente productivo de Exchange, pues en caso de no ser utilizadas se recomienda bloquear la llamada a la función “PushSubscription” que es la que desencadena este ataque. Para realizar lo anterior ejecute los siguientes comandos desde una ventana de Shell de administración de Exchange:
      • New-ThrottlingPolicy -Name NoEWSSSubscription -ThrottlingPolicyScope Organization -EwsMaxSubscriptions 0.
      • Restart-WebAppPool -Name MSExchangeServicesAppPool.

Las áreas técnicas encargadas de ejecutar los cambios planteados en las recomendaciones deberán realizar un análisis del impacto de éstos, para determinar la factibilidad de realizarlos y el mejor momento para hacerlo.

REFERENCIAS