Microsoft Exchange Server 2013、2016、2019に新しい脆弱性が見つかりました。この新しい脆弱性はPrivExchangeと呼ばれ、実際にはゼロデイ脆弱性です。

このセキュリティホールを悪用すると、攻撃者は、シンプルなPythonツールを使用して、交換メールボックスユーザーの資格情報を使用してドメインコントローラーの管理者権限を取得できます。

この新しい脆弱性は、1週間前に研究者のDirk-Jan Mollemaが個人的なブログで明らかにしました。 彼のブログでは、PrivExchangeのゼロデイ脆弱性に関する重要な情報を公開しています。

彼は、メールボックスを持つ任意のユーザーからドメイン管理者に攻撃者のアクセスをエスカレートするために結合される3つのコンポーネントで構成されるかどうか、これは単一の欠陥ではないと書いています。

これらの3つの欠陥は次のとおりです。

• Exchange Serverにはデフォルトで（高すぎる）特権があります
• NTLM認証はリレー攻撃に対して脆弱です
• Exchangeには、Exchangeサーバーのコンピューターアカウントで攻撃者に対して認証を行う機能があります。

研究者によると、攻撃全体はprivexchange.pyとntlmrelayxという2つのツールを使用して実行できます。 ただし、攻撃者が必要なユーザー資格情報を持っていない場合でも、同じ攻撃が可能です。

このような状況では、変更されたhttpattack.pyをntlmrelayxで利用して、資格情報なしでネットワークの観点から攻撃を実行できます。

Microsoft Exchange Serverの脆弱性を緩和する方法

マイクロソフトは、このゼロデイ脆弱性を修正するパッチをまだ提案していません。 ただし、同じブログ投稿で、Dirk-Jan Mollemaは、サーバーを攻撃から保護するために適用できる緩和策をいくつか伝えています。

緩和策の提案は次のとおりです。

• Exchangeサーバーが他のワークステーションとの関係を確立するのをブロックする
• 登録キーの削除
• ExchangeサーバーでSMB署名を実装する
• Exchangeドメインオブジェクトから不要な特権を削除する
• IISのExchangeエンドポイントで認証の拡張保護を有効にします。これにより、Exchangeバックエンドエンドポイントは除外されます。

さらに、Microsoft Server 2013用のこれらのウイルス対策ソリューションのいずれかをインストールできます。

PrivExchange攻撃は、Exchange 2013、2016、2019などの完全にパッチが適用されたバージョンのExchangeおよびWindowsサーバードメインコントローラーで確認されています。