El centro internacional para la divulgación de vulnerabilidades ha alertado acerca de este crítico error para las versiones de Microsoft Exchange 2013 y posteriores. El problema, que aún no ha sido parcheado y no parece tener una forma de mitigación, existe debido a una falla en el software de Microsoft Exchange para establecer distintivos de firma y sellado en el tráfico de autenticación NTLM.
“Los privilegios del servidor de Exchange obtenidos gracias a esta vulnerabilidad se pueden usar para obtener privilegios de Administrador de Dominio para el dominio que contiene el servidor de Exchange comprometido”, menciona la alerta de seguridad del CERT/CC.
Debido a esta vulnerabilidad, un atacante en posesión de las credenciales de un buzón de Exchange también puede comunicarse con un Exchange Server continuar hasta llegar a un controlador de dominio de Windows para obtener privilegios de administrador de dominio. Lo más crítico es que segun expertos en seguridad este ataque es posible incluso si el atacante no cuenta con las contraseñas del buzón de Exchange.
El CERT/CC recomienda dos posibles mitigaciones de riesgos:
La primera es deshabilitar las suscripciones push/pull de EWS.
La segunda, el usuario podría eliminar los privilegios que Exchange tiene en el objeto de dominio.
0 Comentarios