0-day i Microsoft Exchange 2013 och senare [Uppdaterad]

Sårbarheten möjliggör eskalering av rättigheter till Domain Admin via NTLM-reläattack. [1][2]

Microsoft Exchange 2013 och nyare versioner brister i signering av på NTLM autentiseringen, vilket kan leda till att en angripare kan höja sina rättigheter till domänadministratör.

Sårbara system:

Microsoft Exchange Server 2013, 2016 och 2019

Rekommendation:

I dagsläget finns det ingen patch.
Se länk nedan för potentiella Workarounds

Uppdatering 2019-01-30:

Det finns ett sätt att kontrollera i domänkontrollanten om sårbarheten utnyttjas. [3]
Sök efter EventCode 4624. Det visar om Exchange-serverns inloggningsuppgifter har använts i en NTLM-relayattack och ser då ut enligt nedan.

EventCode=4624 
    LogonType=3 
    Authentication Package=NTLM 
    Account Name = YOUREXCHANGESERVER$ 
    Source Network Address = angriparens IP-adress

Uppdatering 2019-02-06:

Microsoft har publicerat en artikel för hur man kan hindra EWS att läcka Exchange NTLM-inloggningsuppgifter (Credentials). [4]

1. Skapa en "organization-scoped policy" som blockar alla EWS-prenumerationer:
     "New-ThrottlingPolicy -Name NoEwsSubscriptions -ThrottlingPolicyScope Organization -EwsMaxSubscriptions 0"

2. Skapa en "regular-scoped policy", som kan användas som vitlista för betrodda användare som behöver full EWS-funktionalitet:
     "New-ThrottlingPolicy -Name AllowEwsSubscriptions -ThrottlingPolicyScope Regular -EwsMaxSubscriptions 5000"

3. Tilldela "regular policy" till betrodda användare:
      "Set-Mailbox User1 -ThrottlingPolicy AllowEwsSubscriptions"

[1] https://dirkjanm.io/abusing-exchange-one-api-call-away-from-domain-admin/
[2] https://www.thezdi.com/blog/2018/12/19/an-insincere-form-of-flattery-impersonating-users-on-microsoft-exchange
[3] https://isc.sans.edu/forums/diary/Relaying+Exchanges+NTLM+authentication+to+domain+admin+and+more/24578/
[4] https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV190007