www.belgium.be Logo of the federal government

Uitwisseling NTLM-relaisfout

Referentie: 
Advisory #2019-03
Versie: 
1.0
Geïmpacteerde software: 
Exchange 2013
Exchange 2016
Exchange 2019
Type: 
Privilege escalatie en Relais aanval

Bronnen

Risico’s

Een aanvaller met toegang tot een mailbox op het domein via Exchange kan via NTLM via HTTP en een relay attack escaleren naar een domeinbeheerder.

Een proof of concept is beschikbaar op het internet.

Beschrijving

Exchange-servers hebben zeer hoge privileges in Active Directory domeinen. De Exchange Web Services(EWS) heeft een methode genaamd "PushSubscriptionRequest" waarmee een gebruiker zich kan abonneren op push events.

Om zich hierop te abonneren, moet de gebruiker een URL opgeven. Zodra een gebeurtenis zich voordoet, zal de Exchange-server nu proberen verbinding te maken met de machine van de aanvaller (de URL die in het abonnement is opgegeven) en zal de NTLM-referenties passeren.

Deze kunnen vervolgens worden doorgestuurd naar een Domain Controller, zodat alle acties op het domein kunnen worden uitgevoerd, inclusief het dumpen van alle wachtwoorden van een Domain Controller door het uitvoeren van DCSync.

Met hashes van alle gebruikers kan de aanvaller zich verder voordoen als een andere gebruiker en het volledige domein overnemen.

Aanbevolen acties

CERT.be raadt de gebruiker aan de volgende stappen te volgen om deze aanval te beperken, aangezien er nog geen patch beschikbaar is:

  • Als u EWS niet gebruikt, schakel het dan uit: Exchange Management Shell:
    • Nieuw-ThrottlingPolicy -Name NoEWSSubscription -ThrottlingPolicyScope Organization -EWSMaxSubscriptions 0
    • Restart-WebAppPool -Name MSExchangeServicesAppPool
  • Gebruik een interne firewall om te voorkomen dat Exchange verbinding maakt met uw werkstations. Dit voorkomt de exploit niet, maar bemoeilijkt de exploitatie een beetje.
  • Schakel SMB en LDAP ondertekening in.
  • Verwijder de hoge privileges die Exchange heeft op het Domain object.