Vulnérabilités MS Exchange et Active Directory (06.02.19)

Avis et alertes de sécurité au jour le jour (aucune question posée dans ce sous-forum)

Modérateur: Modérateurs et Modératrices

Vulnérabilités MS Exchange et Active Directory (06.02.19)

Messagede pierre » 07 Fév 2019, 00:01

ALERTE : Vulnérabilités affectant l’écosystème Microsoft Exchange et Active Directory (le 06 février 2019)

Version initiale de l'avis
06 février 2019

Source(s)
Voir Documentation

Qu'est-ce qu'un CVE | Full disclosure | Zero Day | Tromperie et Full disclosure

Risque(s)
Élévation de privilèges

Systèmes affectés
Microsoft Exchange Server versions 2010 et ultérieures déployées en utilisant un modèle d'autorisation de type RBAC (le modèle d’autorisation de type AD Split n'est pas impacté).

Résumé
[Mise à jour du 06/02/2019 : mise à jour des contournements provisoires et ajout d'un bulletin Microsoft (cf. section Documentation)]

Le 21 janvier, un chercheur a révélé publiquement une vulnérabilité de type élévation de privilèges sur l'écosystème Microsoft Exchange et Active Directory[1].

Un ensemble de faiblesses connues ont été combinées afin de permettre à un "utilisateur standard" du domaine d'élever ses privilèges jusqu'au niveau "administrateur de domaine". L'auteur de ce blogue fournit à la fois les éléments techniques et les codes d'exploitation.

Trois faiblesses sont utilisées :

  1. Microsoft Exchange supporte l'API Exchange Web Services (EWS), dont l'une des fonctions est PushSubscription. Celle-ci permet à un "utilisateur standard" de demander au serveur Microsoft Exchange d'initier des communications authentifiées à destination d'une ressource qu'il maîtrise ;
  2. par conception, l'authentification NTLM permet des attaques de type relai ;
  3. les comptes machines des serveurs Microsoft Exchange disposent d'un haut niveau de privilège sur l'Active Directory [2].

L'attaquant peut obtenir, depuis sa ressource maîtrisée, une authentification valide d'un compte machine d'un serveur Microsoft Exchange (1.).

Une fois cette étape franchie, il peut relayer cette authentification auprès d'un contrôleur de domaine Active Directory (2.).

Les droits d'accès de ce compte permettent ensuite de modifier les permissions appliquées au domaine et d'obtenir les droits "administrateur de domaine" du domaine Active Directory (3.).

Contournement provisoire
Afin de limiter les risques d'escalade de privilège selon le scénario décrit ci-dessus, le CERT-FR recommande d'appliquer les mesures suivantes:

  1. Filtrer les flux initiés par les serveurs Microsoft Exchange.
    Il convient de filtrer les flux initiés depuis les serveurs Exchange vers les autres machines du réseau, notamment vers les postes de travail des utilisateurs. De manière générale, seuls les flux nécessaires au bon fonctionnement doivent être autorisés (DC, Exchanges, etc.).
  2. Modifier le descripteur de sécurité à la racine du domaine Active Directory, en ajoutant l'attribut "Inherit_only" sur les access control entities (ACE) dangereuses [2]. Ces ACE permettent la modification du descripteur de sécurité (WRITE_DAC) du domaine. Cette modification bien que simple et réversible n'est toutefois pas supportée par Microsoft.

Il est également possible de vérifier une éventuelle tentative d'exploitation en consultant les journaux EWS [3].

Comme tout élément de contournement, il est important d'être prudent lors de la mise en œuvre. Il est à noter que l'ensemble des éléments recommandés à ce jour est réversible.

Le 5 février 2019, Microsoft a publié un bulletin de sécurité relatif à la vulnérabilité d'élévation de privilèges dans Microsoft Exchange. Ce bulletin présente une méthode de contournement provisoire basée sur la définition d'une politique limitant le processus de notifications EWS [4].

Solution
Se rapprocher du support de l'éditeur afin d'obtenir un moyen de contournement officiel et adapté à son environnement.

Documentation
[1] Billet de blogue de M. Mollema
https://dirkjanm.io/abusing-exchange-on ... ain-admin/

[2] Script pour modifier la DACL et ajouter l'attribut "Inherit_only"
https://github.com/gdedrouas/Exchange-A ... nObject.md

[3] Journaux EWS
https://ingogegenwarth.wordpress.com/20 ... -ews-logs/

[4] Bulletin de sécurité Microsoft ADV190007 du 5 février 2019
https://portal.msrc.microsoft.com/en-US ... /adv190007
Image
__________________
Pierre (aka Terdef)
Appel à donation - Le site a besoin de votre aide

Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
Image
Avatar de l’utilisateur
pierre
 
Messages: 25313
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant

Re: Vulnérabilités MS Exchange et Active Directory (06.02.19

Messagede pierre » 18 Fév 2019, 19:15

[5] Billet de blogue Microsoft du 12 février 2019
https://blogs.technet.microsoft.com/exc ... e-updates/

[6] Avis CERT-FR CERTFR-2019-AVI-065 Multiples vulnérabilités dans Microsoft Exchange
https://www.cert.ssi.gouv.fr/avis/CERTFR-2019-AVI-065/
Image
__________________
Pierre (aka Terdef)
Appel à donation - Le site a besoin de votre aide

Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
Image
Avatar de l’utilisateur
pierre
 
Messages: 25313
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant

Re: Vulnérabilités MS Exchange et Active Directory (06.02.19

Messagede pierre » 07 Mar 2019, 00:26

Cloture de l'alerte
Image
__________________
Pierre (aka Terdef)
Appel à donation - Le site a besoin de votre aide

Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
Image
Avatar de l’utilisateur
pierre
 
Messages: 25313
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant


Retourner vers Alertes

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 11 invités