Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

Vulnerabilità 0-day consente l’elevazione dei privilegi in Microsoft Exchange

elevazione dei privilegi  exchange  microsoft   martedì, 29 gennaio 2019

È stata recentemente resa nota l’esistenza di una vulnerabilità zero-day in Microsoft Exchange 2013 o più recente che può consentire ad un attaccante remoto di ottenere i privilegi del server Exchange.

Microsoft Exchange supporta una API chiamata Exchange Web Services (EWS). Una delle funzioni messe a disposizione degli sviluppatori da questa API, chiamata PushSubscription, può essere utilizzata per far connettere un server Exchange ad un sito Web arbitrario mediante il protocollo di autenticazione NTLM (NT LAN Manager). A partire da Microsoft Exchange 2013, l’autenticazione NTLM su HTTP non imposta correttamente e i flag di negoziazione Sign (firma digitale dei messaggi) e Seal (cifratura dei messaggi), rendendo i tentativi di connessione vulnerabili ad attacchi di tipo NTLM relay.

Se sfruttata con successo, questa vulnerabilità può consentire ad un attaccante in possesso di credenziali di una casella di Email Exchange e con la possibilità di comunicare sia con un server Exchange, sia con un controllore di dominio Windows, di ottenere i privilegi di amministratore di dominio.

Al momento non sono disponibili aggiornamenti da parte di Microsoft che risolvono questa vulnerabilità in Exchange. Sono disponibili soluzioni alternative di mitigazione che possono essere applicate in attesa di una patch ufficiale.

Per maggiori informazioni sulla vulnerabilità e sulle possibili soluzioni di mitigazione, si consiglia di consultare le seguenti fonti esterne (in Inglese):

Notizie correlate

Aggiornamenti di sicurezza per prodotti Microsoft (aprile 2019)

10 aprile 2019

Nella giornata del 9 aprile 2019 Microsoft ha emesso diversi aggiornamenti di sicurezza che risolvono vulnerabilità multiple in svariati prodotti.Leggi tutto

Vulnerabilità multiple in Apache HTTP Server

3 aprile 2019

Sono state risolte diverse vulnerabilità in Apache HTTP Server 2.4.x, la più grave delle quali potrebbe essere sfruttata da un utente malevolo per eseguire codice con i privilegi di root.Leggi tutto

Vulnerabilità in VMware Workstation e Horizon

18 marzo 2019

VMware ha rilasciato due avvisi di sicurezza relativi a vulnerabilità nei prodotti Workstation Pro / Player e Horizon sui sistemi Microsoft Windows.Leggi tutto