Nasıl Çalışıyor?
Exchange, HTTP üzerinden NTLM kullanan saldırganlara kimlik doğrulaması yapmanın bir yolunu sunuyor. Bu sayede saldırgan Active Directory üzerinde Domain Admin yetkisine sahip olabiliyor. Bu saldırı yöntemi 3 farklı güvenlik zafiyetini kullanarak/birleştirilerek gerçekleştiriliyor.
- Exchange Sunucuları varsayılan olarak (çok) yüksek ayrıcalıklara sahiptir.
- NTLM kimlik doğrulaması geçiş saldırılarına karşı savunmasızdır.
- Exchange sunucusunun bilgisayar hesabına sahip bir saldırgana Exchange kimlik doğrulaması yapan bir özelliğe sahiptir.
Çözüm
Microsoft, kimliği doğrulanmış bildirimlerin sunucu tarafından izlenmesine izin vermemek için EWS istemcileri ve Exchange Server çalıştıran sunucular arasında kurulan bildirim sözleşmesini değiştirdi. Bunun yerine, bu bildirimler isimsiz kimlik doğrulama mekanizmaları kullanılarak yayınlanmaktadır. Bir müşterinin aboneliği belirlemek için kimliğini doğrulaması gerekeceğinden, bu yaklaşım sunucunun kimlik bilgilerini ve kimliğini korumak için uygun ve gerekli bir tasarım olarak kabul edilir. Bu değişiklikten sonra, Exchange Server çalıştıran sunucudan kimliği doğrulanmış bir EWS Push Bildirimi kullanan istemciler, düzgün çalışabilmesi için bir istemci güncelleştirmesi gerektirir.
- Exchange Server 2019 CU1, Güncelleme
- Exchange Server 2016 CU12, Güncelleme
- Exchange Server 2013 CU22, Güncelleme
- Exchange Server 2010 CU26, Güncelleme
