Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「MS Exchange 2013」以降に脆弱性「PrivExchange」 - ドメイン管理者権限奪われるおそれも

デフォルトで「Exchange Server」には高い権限が与えられているため、ドメインの管理者権限を取得されるおそれがある。

また「Exchange」におけるアカウントのパスワードを把握していない場合も、同じネットワーク上であれば「Exchange」に用意されたAPIを利用して任意のウェブサイトでNTLM認証を行わせることが可能。NTLMリレー攻撃を通じてドメインコントローラの管理者権限が奪われるおそれがある。

SANS instituteのセキュリティ研究者であるBojan Zdrnja氏は、最新のパッチを適用した「Exchange」も影響があり、大きな影響を及ぼすおそれがあると指摘。今回の問題を受け、CERT/CCもアドバイザリをリリースした。

セキュリティ更新プログラムは提供されておらず、緩和策として、原因となる「PushSubscription API」の呼び出しをブロックしたり、「Exchange」における権限の削除といった緩和策が案内されている。

20190129_nt_002.jpg
ドメイン管理者の権限を奪う流れ(画像:dirkjanm.io)
お詫びと訂正:本記事初出時の記載について、「NTLM」の綴りにミスがありました。読者のみなさまにお詫びし、訂正いたします。

(Security NEXT - 2019/01/29 ) このエントリーをはてなブックマークに追加

PR

関連記事

AD対象のペネトレーションテストサービス - サイバートラスト
「Apache Solr」に脆弱性、設定ミスが重なるとRCEのおそれも
ビデオ会議で人気集める「Zoom」に複数問題 - 修正に追われる
「Exchange Server」の深刻な脆弱性、MSがアップデートを開発中
「Adobe Reader」に未修正の脆弱性 - 「NTLMハッシュ」窃取のおそれ
1月のMS月例パッチ、ファイルサーバ適用時に不具合
「Adobe Acrobat/Reader」に脆弱性、実証コードが公開済 - 早急に更新を
Adobe、「Acrobat/Reader」におけるPoC公開の脆弱性について訂正
【続報】「Adobe Acrobat/Reader」の定例外パッチが公開 - 早期適用呼びかけ
Gemalto製ライセンス管理製品に複数脆弱性 - ドングル接続時にFWを開放、RCEのおそれ