Défaut dans le relai d’authentification d’Exchange NTLM
Sources
- https://dirkjanm.io/abusing-exchange-one-api-call-away-from-domain-admin/
- https://isc.sans.edu/forums/diary/Relaying+Exchanges+NTLM+authentication...
- https://twitter.com/gentilkiwi/status/1088599133986975755
- https://www.us-cert.gov/ncas/current-activity/2019/01/28/CERTCC-Reports-...
Risques
Un acteur malveillant ayant accès à une boite mail d’un domaine utilisant Exchange, pourrait obtenir les droits administrateur du domaine en utilisant NTLM via http en combinaison avec une attaque relai.
Une validation de principe (Proof of concept) est disponible sur Internet.
Description
Par défaut, les serveurs Exchange ont des droits élevés dans le domaine. Le web service Exchange (EWS) dispose d’une méthode appelée « PushSubscriptionRequest » autorisant un utilisateur à souscrire à des évènement noyés par le système.
Pour y souscrire, l’utilisateur doit spécifier une URL. Quand un évènement se produira, Exchange essayera de se connecter à celle-ci et passera les droits NTLM simultanément. Ceux-ci peuvent être transmis vers un Contrôleur du domaine (DC), permettant à un acteur malveillant d’exécuter tout ce qu’il veut, comme extraire tous les hashs des mots de passes via la méthode DCSync.
En possédant ces hashs, un acteur malveillant peut prendre possession du domaine.
Actions recommandées
Le CERT.be recommande aux administrateurs système de suivre les étapes suivantes comme méthodes de mitigation en attendant un patch :
- Si vous n’utilisez pas EWS, désactiver-le en vous connectant au Shell de gestion d’Exchange :
- New-ThrottlingPolicy -Name NoEWSSubscription -ThrottlingPolicyScope Organization -EWSMaxSubscriptions 0
- Restart-WebAppPool -Name MSExchangeServicesAppPool
- Utilisez un pare-feu pour empêcher Exchange de se connecter directement à vos systèmes. Cela ne stoppera pas une attaque mais la rend plus difficile à exécuter.
- Activez la signature SMB et LDAP (signing)
- Modifier prudemment les droits d’Exchange sur l’objet du domaine.