Microsoft Exchange lek: eenvoudig toewijzen administratorrechten

Microsoft heeft melding gemaakt van een probleem met Exchange Server. Het blijkt mogelijk om, door een combinatie van exploits, de administratorrechten te verkrijgen van de het gehele domein. Microsoft heeft kenbaar gemaakt dat er gewerkt wordt aan een patch, maar dat dit nog even op zich laat wachten. Maak je gebruik van Exchange Server op je bedrijfslocatie (On-Premises) dan loop je momenteel het risico dat iemand (zoals een hacker) zichzelf administratorrechten kan verschaffen.

Nader toegelicht

Het probleem zit in een combinatie van elementen. De rechten kunnen worden verkregen door het uitvoeren van een API-call. Het grootste probleem zit in het feit dat Exchange Servers standaard hoge privileges hebben. Tevens is de authenticatie van Microsoft (NTLM) kwetsbaar voor zogeheten relay-aanval. Ten derde biedt Exchange de mogelijkheid voor de ongewenste gebruiker om zich te identificeren met het account van de server.

Het gaat om de volgende versies:

• Exchange 2013 (CU21) on Server 2012R2, relayed to a Server 2016 DC (all fully patched)
• Exchange 2016 (CU11) on Server 2016, relayed to a Server 2019 DC (all fully patched)
• Exchange 2019 on Server 2019, relayed to a Server 2019 DC

Tegenmaatregelen

Maak je gebruik van Microsoft Exchange? Neem dan even contact met ons op om te bepalen welke tegenmaatregelen we, in samenspraak met je, kunnen nemen om de gevaren te pareren.