www.belgium.be Logo of the federal government

Défaut dans le relai d’authentification d’Exchange NTLM

Référence: 
Advisory #2019-03
Version: 
1.0
Logiciels concernés : 
Exchange 2013
Exchange 2016
Exchange 2019
Type: 
Escalade des privilèges, attaque relai.
Date: 
29/01/2019

Sources

Risques

Un acteur malveillant ayant accès à une boite mail d’un domaine utilisant Exchange, pourrait obtenir les droits administrateur du domaine en utilisant  NTLM via http en combinaison avec une attaque relai.

Une validation de principe (Proof of concept) est disponible sur Internet.

Description

Par défaut, les serveurs Exchange ont des droits élevés dans le domaine. Le web service Exchange (EWS) dispose d’une méthode appelée « PushSubscriptionRequest » autorisant un utilisateur à souscrire à des évènement noyés par le système.

 

Pour y souscrire, l’utilisateur doit spécifier une URL. Quand un évènement se produira, Exchange essayera de se connecter à celle-ci et passera les droits NTLM simultanément. Ceux-ci peuvent être transmis vers un Contrôleur du domaine (DC), permettant à un acteur malveillant d’exécuter tout ce qu’il veut, comme extraire tous les hashs des mots de passes via la méthode DCSync.

En possédant ces hashs, un acteur malveillant peut prendre possession du domaine.

Actions recommandées

Le CERT.be recommande aux administrateurs système de suivre les étapes suivantes comme méthodes de mitigation en attendant un patch :

  • Si vous n’utilisez pas EWS, désactiver-le en vous connectant au Shell de gestion d’Exchange :
    • New-ThrottlingPolicy -Name NoEWSSubscription -ThrottlingPolicyScope Organization -EWSMaxSubscriptions 0
    • Restart-WebAppPool -Name MSExchangeServicesAppPool
  • Utilisez un pare-feu pour empêcher Exchange de se connecter directement à vos systèmes. Cela ne stoppera pas une attaque mais la rend plus difficile à exécuter.
  • Activez la signature SMB et LDAP (signing)
  • Modifier prudemment les droits d’Exchange sur l’objet du domaine.