ຜົນກະທົບ

ບັນຫາ​ນີ້​ເກີດ​ຂຶ້ນ​ຈາກ​ການ Exchange Permissions Group ນັ້ນ ​ມີ​ສິດ WriteDacl ສຳລັບ Domain Object ໃນ Active Directory ເຮັດໃຫ້​ສະມາຊິກ​ໃນ Group ສາມາດ​ແກ້​ໄຂ​ສິດທິ​ໃນ Domain ໄດ້ ຊຶ່ງ​ກໍ່​ລວມ​ເຖິງ​ຍັງ​ສາມາດ​ເຮັດ DCSync ໄດ້​ເຊັ່ນກັນ ເຮັດໃຫ້​ຜູ້​ໂຈມ​ຕີ​ຊຶ່ງ​ມີ User ແລະ Mailbox ໃນ​ລະບົບ​ສາມາດ​ທຳການ Synchronize ລະ​ຫັດ​ຜ່ານ​ບ່ອນ​ເຮັດວຽກ Hash ມາ​ແລ້ວ ແລະ ​ນຳ​ລະ​ຫັດ​ຜ່ານ​ເຫຼົ່າ​ນັ້ນ​ໄປ​ໃຊ້​ປອມ​ຕົວ​ດ້ວຍ​ການ​ຢືນຢັນ​ຕົວ​ຕົນ​ຜ່ານ​ທາງ NTLM ຫຼື Kerberos ພາຍ​ໃນ Domain ສ່ວນ​ການ​ໂຈມ​ຕີ Exchange ກໍ່​ສາມາດ​ໃຊ້​ການເຮັດ Reflection Attack ໄປ​ຍັງ Exchange PushSubscription API ໄດ້.

ຂໍ້ແນະນໍາໃນການປ້ອງກັນ ແລະ ແກ້ໄຂ

ສຳລັບ​ວິທີ​ການ​ປ້ອງ​ກັນ​ປະ​ເດັນ​ບັນຫາ​ເຫຼົ່າ​ນີ້​ກໍ່​ມີ Workaround ທີ່​ຫຼາກ​ຫຼາຍ ທັງ​ການຫຼຸດ​ສິດທິ​ຂອງ Exchange ໃນ​ການ​ຈັດການ​ກັບ Domain Object, ການ​ເປີດ LDAP Signing ແລະ Channel Binding, ການ​ປິດ​ບໍ່​ໃຫ້ Exchange Server ເຊື່ອມ​ຕໍ່​ຜ່ານ​ທາງ Port ທີ່​ບໍ່​ຈຳ​ເປັນ, ເປີດ​ໃຊ້ Extended Protection for Authentication ສຳລັບ Exchange, ປິດ Registry ທີ່​ໃຊ້​ອະນຸຍາດ​ໃນ​ການເຮັດ Relay, ບັງຄັບ​ໃຊ້ SMB Signing ເປັນ​ຕົ້ນ.

The Register ໄດ້​ສອບ​ຖາມ​ເຖິງ​ປະ​ເດັນ​ນີ້​ກັບ Microsoft ຊຶ່ງ​ທາງ Microsoft ກໍ​່ໄດ້​ຕອບ​ຮັບ​ເຖິງ​ການ​ໃຫ້​ຄວາມ​ສຳຄັນ​ດ້ານ Security ໃນ​ຜະລິດຕະພັນ​ຂອງ​ຕົນເອງ ແຕ່​ຍັງ​ບໍ່​ໄດ້​ລະ​ບຸ​ຊີ້​ແຈ້ງ​ວ່າ​ຈະ​ອອກແພັດແກ້ໄຂ (Patch) ຕອນ​ໃດ.

ເອກະສານອ້າງອີງ:

1. https://www.theregister.co.uk/2019/01/25/microsoft_exchange_hashed_passwords/
2. https://www.techtalkthai.com/zero-day-vulnerability-was-found-on-microsoft-exchange/