none
Microsoft Exchange 2013 - NTLM relay attacks RRS feed

  • Domanda

  • Buongiorno,

    ho ricevuto una nota di sicurezza che riguarda Exchange 2013, in particolare NTLM:

    https://kb.cert.org/vuls/id/465632/

    La nota descrive come risolvere/mitigare la questione, non avendo a disposizione patch correttive di Microsoft; in più c'è anche uno script in PS "Fix-DomainObjectDACL.ps1" che andrebbe applicato.

    Chiedo se già qualcuno si è imbattuto nell'articolo ed ha seguito il tutto; noi abbiamo una versione di Exchange 2013 CU19 in DAG su Windows 2012 Datacenter, DC Windows 2012 Datacenter.

    Di seguito la nota Microsoft:

    https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/ADV190007#ID0EGB

    Grazie per il cortese riscontro.


    • Modificato SysAdmin_IT mercoledì 6 febbraio 2019 16:40
    mercoledì 6 febbraio 2019 11:29

Risposte

  • Ciao,  si avevo letto della problematica. Se però vai a vedere, devi avere delle credenziali valide di un utente exchange, quindi sostanzialmente di un utente AD. Ora, se qualcuno ha le credenziali di uno user della tua AD hai già un problema. certo si può provare a carpirle, ma anche li, non è così semplice. 

    Abilitando però la throttling policy rischi che tutta una serie di applicazioni che usano EWS non vadano più come specificato nella spiegazione del link.

    Parliamoci chiaro, anche se hai le password di uno user, fare priviledge escalation per diventare admin non è una cosa così scontata come ti fanno credere in tutti i corsi di hacking.

    Al momento non ci sono fix, solo workaround. io ti direi se non hai problemi particolari o users con password veramente blande di lasciare stare. 

    Era possibile comunque anche prima se uno si inseriva in mezzo ad una sessione carpire le credenziali user e poi provare a scalare solo che non era sull’ntlm.

    Vedi tu.

    ciao.

    A.

    mercoledì 6 febbraio 2019 20:40
    Moderatore
  • Se tocchi la EWS sicuramente qualcosa impatta sui dispositivi Apple. In che modo non lo so, ma disservizi ne hai.

    Magari prova a dare un occhio sui forum USA, li hanno un parco molto più fornito di casistiche...anche se secondo me praticamente tutti sono stati alla finestra per ora...andare a fare modifiche poi magari tra 10gg esce il fix non ha senso. Se la cosa si prolunga allora ci si può pensare.

    ciao.

    A.

    giovedì 7 febbraio 2019 11:35
    Moderatore

Tutte le risposte

  • Ciao,  si avevo letto della problematica. Se però vai a vedere, devi avere delle credenziali valide di un utente exchange, quindi sostanzialmente di un utente AD. Ora, se qualcuno ha le credenziali di uno user della tua AD hai già un problema. certo si può provare a carpirle, ma anche li, non è così semplice. 

    Abilitando però la throttling policy rischi che tutta una serie di applicazioni che usano EWS non vadano più come specificato nella spiegazione del link.

    Parliamoci chiaro, anche se hai le password di uno user, fare priviledge escalation per diventare admin non è una cosa così scontata come ti fanno credere in tutti i corsi di hacking.

    Al momento non ci sono fix, solo workaround. io ti direi se non hai problemi particolari o users con password veramente blande di lasciare stare. 

    Era possibile comunque anche prima se uno si inseriva in mezzo ad una sessione carpire le credenziali user e poi provare a scalare solo che non era sull’ntlm.

    Vedi tu.

    ciao.

    A.

    mercoledì 6 febbraio 2019 20:40
    Moderatore
  • Buongiorno Alessandro,

    grazie per il feedback.

    Infatti leggevo sulla nota che la modifica potrebbe, e dico potrebbe, causare problemi al prodotto Outlook for Mac e prodotti di terze parti.

    Abbiamo anche il caso di dispositivi Ipad, Iphone con prodotti ActiveSync o OWA per leggere la posta aziendale e non è ben chiaro se potrebbero avere problemi.

    Non saprei, nel dubbio al momento ci penso prima di applicare la "mitigation", nella speranza che non si manifesti nulla di grave.

    Sarebbe interessante avere un feedback da qualcuno che ha già applicato la "ThrottlingPolicy" su EWS; noi abbiamo circa 800 Mailbox e circa 100 dispositivi smartphone, tablet, etc..

    Grazie ancora

    giovedì 7 febbraio 2019 11:15
  • Se tocchi la EWS sicuramente qualcosa impatta sui dispositivi Apple. In che modo non lo so, ma disservizi ne hai.

    Magari prova a dare un occhio sui forum USA, li hanno un parco molto più fornito di casistiche...anche se secondo me praticamente tutti sono stati alla finestra per ora...andare a fare modifiche poi magari tra 10gg esce il fix non ha senso. Se la cosa si prolunga allora ci si può pensare.

    ciao.

    A.

    giovedì 7 febbraio 2019 11:35
    Moderatore
  • Buongiorno Alessandro,

    ecco per Exchange 2013 la CU22:

    https://support.microsoft.com/en-ca/help/4345836/cumulative-update-22-for-exchange-server-2013

    Tra le fix:

    • 4490060 Exchange Web Services Push Notifications can be used to gain unauthorized access

    Credo che sia proprio la fix NTLM

    Per caso hai/avete riscontri su Exchange 2013 in DAG?

    Grazie per feedback

    giovedì 14 febbraio 2019 12:41
  • MS non fa differenza tra DAG e Single server, a parte alcune fix a volte per i DAG, ma sulle CU sono univoche. Quindi sempre la stessa procedura di aggiornamento.

    ciao.

    A.

    giovedì 14 febbraio 2019 12:44
    Moderatore