Microsoft comunica sobre vulnerabilidade de escalonamento de privilégios com o Exchange Server

A Microsoft lança um comunicado de segurança que corrige a vulnerabilidade de escalonamento de privilégios com o Exchange Server. Ao explorar esta vulnerabilidade, um invasor pode se passar por qualquer outro usuário do Exchange.

Um invasor pode explorar essa vulnerabilidade executando um ataque intermediário e encaminhando uma solicitação de autenticação para um Microsoft Exchange Server, que permite a representação de outro usuário do Exchange.

Para resolver a falha, uma política de limitação para EWSMaxSubscriptions poderia ser definida e aplicada à organização com um valor zero. Isso impedirá que o servidor do Exchange envie notificações do EWS e impeça que os aplicativos clientes que dependem das notificações do EWS funcionem normalmente, veja o aviso de segurança da Microsoft .

  • Pacote Cumulativo de Atualizações do Service Pack 3 do Microsoft Exchange Server 2010 26 – Elevação de Privilégios
  • Atualização Cumulativa do Microsoft Exchange Server 2013 22 – Elevação de Privilégios
  • Atualização Cumulativa do Microsoft Exchange Server 2016 12 – Elevação de Privilégios
  • Atualização Cumulativa do Microsoft Exchange Server 2019 1 – Elevação de Privilégios

Mitigações e Soluções Alternativas

A partir do Microsoft Exchange 2013, a autenticação NTLM sobre HTTP não define os sinalizadores NTLM, o que torna possíveis os ataques de retransmissão NTLM.

Se você estiver usando um servidor Exchange, recomenda-se impedir que as assinaturas do EWS sejam criadas. A Microsoft recomenda que “Os clientes são fortemente encorajados a testar soluções alternativas antes de implementá-los na produção para entender o impacto potencial”.

Aqui você pode ver a atenuação e a solução alternativa sugerida pela Microsoft e a nota de vulnerabilidade VU # 465632 .

Adriano Lopes

Adriano Lopes é o criador e proprietário do MundoHacker.net.br. Desenvolvedor Web, Hacker Ético, Programador C, Python, Especialista em Segurança da Informação.