CSIRT Panamá Aviso 2019-01-30 Vulnerabilidad en Exchange 2013 y superior (NTLM relay attacks Vulnerability)

CSIRT Panamá Aviso 2019-01-30 Vulnerabilidad en Exchange 2013 y superior (NTLM relay attacks Vulnerability)
Gravedad: Alta
Fecha de publicación: Enero 30, 2019
Última revisión: Enero 27, 2019
https://kb.cert.org/vuls/id/465632/

Sistemas Afectados:
Microsoft Exchange
Windows Domain Controller

I. Descripción
Microsoft Exchange admite una API llamada Exchange Web Services (EWS). Una de las funciones de la API de EWS se llama PushSubscriptionRequest, que se puede usar para hacer que el servidor de Exchange se conecte a un sitio web remoto del atacante.
Las conexiones realizadas mediante la función PushSubscriptionRequest intentarán negociar con el servidor web del atacante mediante la autenticación NTLM.
A partir de Microsoft Exchange 2013, la autenticación NTLM a través de HTTP no puede establecer los distintivos de Sign y Seal NTLM.
La falta de firma hace que este intento de autenticación sea vulnerable a los ataques de retransmisión NTLM.

Microsoft Exchange en su configuracion predeterminada cuenta con amplios privilegios con respecto al objeto de dominio en Active Directory.
Debido a que el grupo de Permisos de Windows de Exchange tiene acceso de WriteDacl al objeto de Dominio, esto significa que los privilegios del servidor de Exchange obtenidos con esta vulnerabilidad se pueden usar para obtener privilegios de administrador de dominio para el dominio que contiene el servidor de Exchange vulnerable.

II. Impacto
Un atacante que tiene credenciales para un buzón de Exchange, también tiene la capacidad de comunicarse con un servidor Microsoft Exchange y un controlador de dominio de Windows puede obtener privilegios de administrador de dominio.
También se informa que un atacante sin conocimiento de la contraseña de un usuario de Exchange puede realizar el mismo ataque utilizando un ataque de retransmisión de SMB a HTTP, siempre que estén en el mismo segmento de red que un usuario de Exchange.

III. Referencia a soluciones, herramientas e información

Microsoft ha liberado una guía para solucionar este tema:

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/adv190007

IV. Información de contacto
CSIRT PANAMA
Computer Security Incident Response Team Autoridad Nacional para la Innovacion Gubernamental
E-Mail: info@cert.pa
Phone: +507 520-CERT (2378)
Web: https://cert.pa
Twitter: @CSIRTPanama
Facebook: http://www.facebook.com/CSIRTPanama
Key ID: 16F2B124