Vulnérabilités sur l’écosystème Exchange et Active Directory

  • Auteur/autrice de la publication :
  • Post category:Alertes et Avis

Gestion du document

Origine: bjCSIRT

Numéro: 2019/ALERTE/001

Date de l’alerte: 01/02/2019

TLP: White

Aperçu de la vulnérabilité

Une vulnérabilité de type élévation de privilèges sur l’écosystème Microsoft Exchange et Active Directory a été découverte par un chercheur et révélée le 21 Janvier.

Une combinaison de failles connues permet à un « utilisateur standard » du domaine d’élever ses privilèges jusqu’au niveau « administrateur de domaine ». L’auteur de cette découverte fournit à la fois les éléments techniques et les codes d’exploitation.

Description

Trois failles sont utilisées pour cette élévation de privilège :

  1. Microsoft Exchange supporte l’API Exchange Web Services (EWS), dont l’une des fonctions est PushSubscription. Celle-ci permet à un « utilisateur standard » de demander au serveur Microsoft Exchange d’initier des communications authentifiées à destination d’une ressource qu’il maîtrise;
  2. Par conception, l’authentification NTLM permet des attaques de type relai ;
  3. les comptes machines des serveurs Microsoft Exchange disposent d’un haut niveau de privilège sur l’Active Directory.

L’attaquant peut obtenir, depuis sa ressource maîtrisée, une authentification valide d’un compte machine d’un serveur Microsoft Exchange.

Une fois cette étape franchie, il peut relayer cette authentification auprès d’un contrôleur de domaine Active Directory.

Les droits d’accès de ce compte permettent ensuite de modifier les permissions appliquées au domaine et d’obtenir les droits « administrateur de domaine » du domaine Active Directory.

Mesures à prendre

Solution :

Se rapprocher du support de l’éditeur afin d’obtenir un moyen de contournement officiel et adapté à son environnement.

Mesures provisoires :

En attendant une mesure définitive provenant de Microsoft, nous recommandons d’appliquer les mesures suivantes:

 

  1. Filtrer les flux initiés par les serveurs Microsoft Exchange.

Il convient de filtrer les flux initiés depuis les serveurs Exchange vers les autres machines du réseau, notamment vers les postes de travail des utilisateurs. De manière générale, seuls les flux nécessaires au bon fonctionnement doivent être autorisés (DC, Exchanges, etc.).

  1. Modifier le descripteur de sécurité à la racine du domaine Active Directory, en ajoutant l’attribut « Inherit_only » sur les access control entities (ACE) dangereuses.

Ces ACE permettent la modification du descripteur de sécurité (WRITE_DAC) du domaine. Cette modification bien que simple et réversible n’est toutefois pas supportée par Microsoft.

Il est également possible de vérifier une éventuelle tentative d’exploitation en consultant les journaux EWS.

Comme tout élément de contournement, il est important d’être prudent lors de la mise en œuvre. Il est à noter que l’ensemble des éléments recommandés à ce jour est réversible.

Lien Utiles

https://dirkjanm.io/abusing-exchange-one-api-call-away-from-domain-admin/

Script pour modifier la DACL et ajouter l’attribut « Inherit_only »

Journaux EWS

https://www.cert.ssi.gouv.fr/alerte/CERTFR-2019-ALE-002/

Partagez sur vos réseaux.