เผยช่องโหว่ Zero-day บน Microsoft Exchange เข้าสิทธิ์ Domain Admin ได้ ยังไม่มี Patch

Dirk-jan Mollema นักวิจัยด้าน Security จาก Fox-IT ได้ออกมาเผยโค้ดสำหรับทำ Proof-of-Concept และตัวอย่างการโจมตีช่องโหว่ Zero-day บน Microsoft Exchange ที่ทำให้ผู้โจมตีเข้าถึงสิทธิ์ระดับ Domain Admin ได้

Credit: ShutterStock.com

ปัญหานี้เกิดขึ้นจากการที่ Exchange Permissions Group นั้นมีสิทธิ์ WriteDacl สำหรับ Domain Object ใน Active Directory ทำให้สมาชิกใน Group สามารถแก้ไขสิทธิ์ใน Domain ได้ ซึ่งก็รวมถึงยังสามารถทำ DCSync ได้ด้วย ทำให้ผู้โจมตีซึ่งมี User และ Mailbox ในระบบสามารถทำการ Synchronize รหัสผ่านที่ทำการ Hash มาแล้ว และนำรหัสผ่านเหล่านั้นไปใช้ปลอมตัวด้วยการยืนยันตัวตนผ่านทาง NTLM หรือ Kerberos ภายใน Domain ส่วนการโจมตี Exchange ก็สามารถใช้การทำ Reflection Attack ไปยัง Exchange PushSubscription API ได้

สำหรับวิธีการป้องกันประเด็นปัญหาเหล่านี้ก็มี Workaround ที่หลากหลาย ทั้งการลดสิทธิ์ของ Exchange ในการจัดการกับ Domain Object, การเปิด LDAP Signing และ Channel Binding, การปิดไม่ให้ Exchange Server เชื่อมต่อผ่านทาง Port ที่ไม่จำเป็น, เปิดใช้ Extended Protection for Authentication สำหรับ Exchange, ปิด Registry ที่ใช้อนุญาตในการทำ Relay, บังคับใช้ SMB Signing เป็นต้น

ทาง The Register ได้สอบถามถึงประเด็นนี้ไปยัง Microsoft ซึ่งทาง Microsoft ก็ได้ตอบรับถึงการให้ความสำคัญด้าน Security ในผลิตภัณฑ์ของตนเอง แต่ยังไม่ได้ระบุชี้ชัดว่าจะออก Patch เมื่อใด

ที่มา: https://www.theregister.co.uk/2019/01/25/microsoft_exchange_hashed_passwords/


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

[Guest Post] 3 แพ็กเกจจาก Synology ที่ช่วยลดต้นทุนด้าน IT และเพิ่มประสิทธิภาพขององค์กรสำหรับเทรนด์ Hybrid Work Model

เมื่อแนวโน้มการทำงานรูปแบบ Hybrid Work หรือมีการผสมผสานระหว่างการทำงานทางไกล (Remote Work) และการทำงานที่ออฟฟิศ กำลังจะกลายเป็น New Normal ในอนาคต องค์กรธุรกิจไม่ว่าจะขนาดเล็กหรือใหญ่ที่กำลังปรับใช้แผน IT ชั่วคราวสำหรับ Remote …

[Guest Post] สอนการใช้งาน Tibero Database ฉบับภาษาไทย โดยทีมงาน คอมพิวเตอร์ยูเนี่ยน

ระบบฐานข้อมูลขององค์กรมีความสำคัญอย่างมาก การรักษาความปลอดภัยของฐานข้อมูลจึงเข้ามามีบทบาท เพื่อป้องกันไม่ให้ผู้ใช้งานที่ไม่ได้รับอนุญาติเข้ามาจัดการข้อมูลต่าง ๆ ซึ่งอาจส่งผลกระทบต่อองค์กร คอมพิวเตอร์ยูเนี่ยน สอนวิธีการใช้งาน Tibero User Management and Security ฉบับภาษาไทย เกี่ยวกับเครื่องมือและคำสั่งต่าง ๆ …