關於利用Exchange攻擊域管理員許可權的一些建議

最近，CERT協調中心（CERT/CC）發布了一個漏洞提示，警告Microsoft Exchange 2013及之後的版本很容易受到NTLM中繼攻擊，允許攻擊者可以利用該漏洞獲得域管理許可權，進而發起攻擊。所以，依賴Microsoft Exchange的組織目前面臨嚴重數據泄露的風險。這種攻擊尤其令人擔憂，因為它可以獲得域控制器的許可權，而域控制器本質上相當於一個單位的門衛。因為域控制器中包含了由這個域的賬戶、密碼、屬於這個域的計算機等信息構成的資料庫。當電腦聯入網路時，域控制器首先要鑒別這台電腦是否是屬於這個域的，用戶使用的登錄賬號是否存在、密碼是否正確。如果以上信息有一樣不正確，那麼域控制器就會拒絕這個用戶從這台電腦登錄。不能登錄，用戶就不能訪問伺服器上有許可權保護的資源，他只能以對等網用戶的方式訪問Windows共享出來的資源，這樣就在一定程度上保護了網路上的資源。

由於篇幅所限，我們在本文中會簡化攻擊的一些細節，如果你要獲得完整的技術細節，請參見原文。

攻擊者如何利用Microsoft Exchange

由於這個漏洞的出現，攻擊者利用Exchange Web服務API的一個名為「PushSubscriptionRequest」的函數，該函數可以使Exchange伺服器連接到任意網站。然後，攻擊者將通過NTLM身份驗證中繼到Exchange伺服器，或者直接中繼到域控制器。因為Exchange Windows許可權組可以訪問域對象，所以他們可以從Exchange獲得許可權。如果LDAP伺服器簽名未啟用，則中繼的NTLM憑證將在LDAP會話中使用，如果攻擊者希望利用CVE-2017-8563(windows提權漏洞)，則在LDAP會話中使用LDAPS。在LDAP/S會話中，攻擊者可以獲得域複製許可權，稍後將使用這些許可權啟動DCSync攻擊並危及域中的所有帳戶。

由於大多數組織依賴Microsoft Exchange 2013和更新的版本進行日常業務，因此潛在的黑客攻擊的影響應該會持續很長一段時間。有了竊取管理許可權和訪問域控制器的能力，攻擊者就可以滲透到域控制器所服務的所有伺服器、工作站、用戶和應用程序。有了許可權訪問許可權，它們基本上可以對Active Directory管理的所有系統和帳戶進行任何類型的更改，從而破壞整個網路。

緩解策略

雖然Dirk-jan Mollema（此漏洞的發現者）的研究為防範利用Microsoft Exchange漏洞的NTLM中繼攻擊提供了很好的方法，但他在研究中卻忽略了一個關鍵點。他鼓勵用戶「啟用LDAP簽名，並和LDAP通道綁定，以防止分別轉發到LDAP和LDAPS」。雖然在理論上，這是一種正確的方法，但考慮到當前使用的企業軟體部署種類繁多且不支持LDAP通道綁定，這種方法並不總是可行的。

所以，每個組織實際上都應該採取積極的、持久的戰略來阻止這類型的威脅。這些策略不僅可以保護你免受Microsoft Exchange當前的漏洞攻擊，還可以保護你免受其他許多利用NTLM身份驗證的攻擊。

1.僅啟用LDAP簽名和通道綁定是不夠的，這種攻擊非常有效的原因之一是，默認情況下LDAP不受NTLM中繼保護。事實上，2017年發現的CVE-2017-8563證明，這種方法幾乎不可能保護LDAPS。此外，配置LDAP簽名非常困難，因為一些軟體包不支持安全配置。如果你想知道你的網路是否安全，不受LDAPS上的NTLM中繼的影響，你可以運行免費的Preempt Inspector應用程序來查找。

2.監控網路流量並限制NTLM，我們已經寫了很多關於NTLM相關風險的文章。NTLM的本質就是增加了NTLM中繼的風險，因為它非常難以緩解，並自帶密碼破解的風險。雖然NTLM在大多數網路中不能完全刪除，但應該儘可能地減少和限制它。Preempt Platform提供了對身份驗證協議活動(NTLM、DCE/RCP、LDAP和Kerberos)活動和異常的完全可見性和分析能力，還提供了應用動態策略阻止NTLM活動的能力。Preempt可以幫助組織在控制協議使用方面發揮主動作用，降低憑據轉發和密碼破解以及其他基於憑證的攻擊（如Pass-the-Hash和Golden Ticket）的風險，Preempt現在是唯一一家實時處理NTLM協議解密以進行威脅檢測和實時預防的公司。

3.跟蹤域管理許可權，攻擊之所以能夠實現的另一個關鍵是，在許多場景中，:Exchange伺服器被授予域根對象的特殊許可權。在Preempt Platform，我們把這樣的帳戶稱為Stealthy Admins（隱形管理員）。隱形管理員是由授予用戶的各種許可權(委託、複製許可權等)創建的。Preempt Platform可以分析網路中的所有帳戶，並向管理員發出任何與所有隱形管理員帳戶相關的警報。

4.持續監控DCSync，最後的攻擊是由執行DCSync攻擊的用戶完成的，因為他們具有進行域複製的許可權。Preempt通過檢測許可權訪問憑證的濫用和防止關鍵用戶信息的數據泄露，幫助用戶阻止DCSync攻擊。

部署了Preempt的用戶會一直受到NTLM中繼攻擊的保護，Preempt Platform能夠檢測LDAP上的攻擊，允許用戶防止惡意使用特權憑據來訪問域控制器。通過採用這種方法，將不會有任何秘密管理員破壞用戶的Active Directory管理的系統和帳戶。

Preempt行為防火牆可以將每個用戶、賬戶、網路設備予以實時的安全評分，並對威脅進行適度的響應。它可以學習每個用戶和設備的正常行為基線，在嘗試、許可權提升、攻擊行為的蛛絲馬跡中發現異常的用戶、惡意的內部用戶和攻擊者。

用戶行為分析（UEBA）近年來發展速度很快，一些UEBA廠商憑藉檢測能力上的優勢，正在改變現有的網路安全格局，比如Preempt公司，它標榜自己是「業界首個行為防火牆」。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！