{"id":1341,"date":"2019-01-30T16:10:20","date_gmt":"2019-01-30T21:10:20","guid":{"rendered":"https:\/\/cert.pa\/?p=1341"},"modified":"2019-02-14T08:21:46","modified_gmt":"2019-02-14T13:21:46","slug":"csirt-panama-aviso-2019-01-30-vulnerabilidad-en-exchange-2013-y-superior-ntlm-relay-attacks-vulnerability","status":"publish","type":"post","link":"https:\/\/cert.pa\/?p=1341","title":{"rendered":"CSIRT Panam\u00e1 Aviso 2019-01-30 Vulnerabilidad en Exchange 2013 y superior (NTLM relay attacks Vulnerability)"},"content":{"rendered":"\n<p>CSIRT Panam\u00e1 Aviso 2019-01-30 Vulnerabilidad en Exchange 2013 y superior (NTLM relay attacks Vulnerability)<br> Gravedad: Alta<br> Fecha de publicaci\u00f3n: Enero 30, 2019<br> \u00daltima revisi\u00f3n: Enero 27, 2019<br> https:\/\/kb.cert.org\/vuls\/id\/465632\/<\/p>\n\n\n\n<p>Sistemas Afectados:<br>\nMicrosoft Exchange<br>\nWindows Domain Controller<\/p>\n\n\n\n<p>I. Descripci\u00f3n<br> Microsoft Exchange admite una API llamada Exchange Web Services (EWS). Una de las funciones de la API de EWS se llama PushSubscriptionRequest, que se puede usar para hacer que el servidor de Exchange se conecte a un sitio web remoto del atacante.<br> Las conexiones realizadas mediante la funci\u00f3n PushSubscriptionRequest intentar\u00e1n negociar con el servidor web del atacante mediante la autenticaci\u00f3n NTLM. <br> A partir de Microsoft Exchange 2013, la autenticaci\u00f3n NTLM a trav\u00e9s de HTTP no puede establecer los distintivos de <strong>Sign <\/strong>y <strong>Seal <\/strong>NTLM. <br> La falta de firma hace que este intento de autenticaci\u00f3n sea vulnerable a los ataques de retransmisi\u00f3n NTLM.<\/p>\n\n\n\n<p>Microsoft Exchange en su configuracion predeterminada cuenta con amplios privilegios con respecto al objeto de dominio en Active Directory. <br>\nDebido a que el grupo de Permisos de Windows de Exchange tiene acceso de WriteDacl al objeto de Dominio, esto significa que los privilegios del servidor de Exchange obtenidos con esta vulnerabilidad se pueden usar para obtener privilegios de administrador de dominio para el dominio que contiene el servidor de Exchange vulnerable.<\/p>\n\n\n\n<p>II. Impacto <br>\nUn atacante que tiene credenciales para un buz\u00f3n de Exchange, tambi\u00e9n tiene la capacidad de comunicarse con un servidor Microsoft Exchange y un controlador de dominio de Windows puede obtener privilegios de administrador de dominio. <br>\nTambi\u00e9n se informa que un atacante sin conocimiento de la contrase\u00f1a de un usuario de Exchange puede realizar el mismo ataque utilizando un ataque de retransmisi\u00f3n de SMB a HTTP, siempre que est\u00e9n en el mismo segmento de red que un usuario de Exchange.<\/p>\n\n\n\n<p>III. Referencia a soluciones, herramientas e informaci\u00f3n<\/p>\n\n\n\n<p>Microsoft ha liberado una gu\u00eda para solucionar este tema:<\/p>\n\n\n\n<p><a href=\"https:\/\/portal.msrc.microsoft.com\/en-US\/security-guidance\/advisory\/adv190007\">https:\/\/portal.msrc.microsoft.com\/en-US\/security-guidance\/advisory\/adv190007<\/a><\/p>\n\n\n\n<p><\/p>\n\n\n\n<p><\/p>\n\n\n\n<p><\/p>\n\n\n\n<p><\/p>\n\n\n\n<p>IV. Informaci\u00f3n de contacto<br>\nCSIRT PANAMA<br>\nComputer Security Incident Response Team Autoridad Nacional para la Innovacion Gubernamental<br>\nE-Mail: info@cert.pa<br>\nPhone: +507 520-CERT (2378)<br>\nWeb: https:\/\/cert.pa<br>\nTwitter: @CSIRTPanama<br>\nFacebook: http:\/\/www.facebook.com\/CSIRTPanama<br>\nKey ID: 16F2B124<\/p>\n","protected":false},"excerpt":{"rendered":"<p>CSIRT Panam\u00e1 Aviso 2019-01-30 Vulnerabilidad en Exchange 2013 y superior (NTLM relay attacks Vulnerability) Gravedad: Alta Fecha de publicaci\u00f3n: Enero 30, 2019 \u00daltima revisi\u00f3n: Enero 27, 2019 https:\/\/kb.cert.org\/vuls\/id\/465632\/ Sistemas Afectados: Microsoft Exchange Windows Domain Controller&#8230;<\/p>\n","protected":false},"author":4,"featured_media":414,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"om_disable_all_campaigns":false,"_monsterinsights_skip_tracking":false,"_monsterinsights_sitenote_active":false,"_monsterinsights_sitenote_note":"","_monsterinsights_sitenote_category":0,"_uf_show_specific_survey":0,"_uf_disable_surveys":false,"footnotes":""},"categories":[66],"tags":[9],"class_list":["post-1341","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-csirt-panama","tag-microsoft"],"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/posts\/1341","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/users\/4"}],"replies":[{"embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=1341"}],"version-history":[{"count":3,"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/posts\/1341\/revisions"}],"predecessor-version":[{"id":1347,"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/posts\/1341\/revisions\/1347"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/media\/414"}],"wp:attachment":[{"href":"https:\/\/cert.pa\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=1341"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=1341"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=1341"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}