关于利用Exchange攻击域管理员权限的一些建议

最近，CERT协调中心（CERT/CC）发布了一个 漏洞提示 ，警告Microsoft Exchange 2013及之后的版本很容易受到NTLM中继攻击，允许攻击者可以利用该漏洞获得域管理权限，进而发起攻击。所以，依赖Microsoft Exchange的组织目前面临严重数据泄露的风险。这种攻击尤其令人担忧，因为它可以获得域控制器的权限，而域控制器本质上相当于一个单位的门卫。因为域控制器中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当电脑联入网络时，域控制器首先要鉴别这台电脑是否是属于这个域的，用户使用的登录账号是否存在、密码是否正确。如果以上信息有一样不正确，那么域控制器就会拒绝这个用户从这台电脑登录。不能登录，用户就不能访问服务器上有权限保护的资源，他只能以对等网用户的方式访问Windows共享出来的资源，这样就在一定程度上保护了网络上的资源。

由于篇幅所限，我们在本文中会简化攻击的一些细节，如果你要获得完整的技术细节，请参见 原文 。

攻击者如何利用Microsoft Exchange

由于这个漏洞的出现，攻击者利用Exchange Web服务API的一个名为“PushSubscriptionRequest”的函数，该函数可以使Exchange服务器连接到任意网站。然后，攻击者将通过NTLM身份验证中继到Exchange服务器，或者直接中继到域控制器。因为Exchange Windows权限组可以访问域对象，所以他们可以从Exchange获得权限。如果LDAP服务器签名未启用，则中继的NTLM凭证将在LDAP会话中使用，如果攻击者希望利用CVE-2017-8563(windows提权漏洞)，则在LDAP会话中使用LDAPS。在LDAP/S会话中，攻击者可以获得域复制权限，稍后将使用这些权限启动DCSync攻击并危及域中的所有帐户。

由于大多数组织依赖Microsoft Exchange 2013和更新的版本进行日常业务，因此潜在的黑客攻击的影响应该会持续很长一段时间。有了窃取管理权限和访问域控制器的能力，攻击者就可以渗透到域控制器所服务的所有服务器、工作站、用户和应用程序。有了权限访问权限，它们基本上可以对Active Directory管理的所有系统和帐户进行任何类型的更改，从而破坏整个网络。

缓解策略

虽然Dirk-jan Mollema（此漏洞的发现者）的研究为防范利用Microsoft Exchange漏洞的NTLM中继攻击提供了很好的方法，但他在研究中却忽略了一个关键点。他鼓励用户“启用LDAP签名，并和LDAP通道绑定，以防止分别转发到LDAP和LDAPS”。虽然在理论上，这是一种正确的方法，但考虑到当前使用的企业软件部署种类繁多且不支持LDAP通道绑定，这种方法并不总是可行的。

所以，每个组织实际上都应该采取积极的、持久的战略来阻止这类型的威胁。这些策略不仅可以保护你免受Microsoft Exchange当前的漏洞攻击，还可以保护你免受其他许多利用NTLM身份验证的攻击。

1.仅启用LDAP签名和通道绑定是不够的，这种攻击非常有效的原因之一是，默认情况下LDAP不受NTLM中继保护。事实上，2017年发现的CVE-2017-8563证明，这种方法几乎不可能保护LDAPS。此外，配置LDAP签名非常困难，因为一些软件包不支持安全配置。如果你想知道你的网络是否安全，不受LDAPS上的NTLM中继的影响，你可以运行免费的 Preempt Inspector 应用程序来查找。

2.监控网络流量并限制NTLM，我们已经写了很多关于 NTLM相关风险 的文章。NTLM的本质就是增加了NTLM中继的风险，因为它非常难以缓解，并自带密码破解的风险。虽然NTLM在大多数网络中不能完全删除，但应该尽可能地减少和限制它。Preempt Platform提供了对身份验证协议活动(NTLM、DCE/RCP、LDAP和Kerberos)活动和异常的完全可见性和分析能力，还提供了应用动态策略阻止NTLM活动的能力。Preempt可以帮助组织在控制协议使用方面发挥主动作用，降低凭据转发和密码破解以及其他基于凭证的攻击（如Pass-the-Hash和Golden Ticket）的风险，Preempt现在是唯一一家实时处理NTLM协议解密以进行威胁检测和实时预防的公司。

3.跟踪域管理权限，攻击之所以能够实现的另一个关键是，在许多场景中，:Exchange服务器被授予域根对象的特殊权限。在Preempt Platform，我们把这样的帐户称为 Stealthy Admins （隐形管理员）。隐形管理员是由授予用户的各种权限(委托、复制权限等)创建的。Preempt Platform可以分析网络中的所有帐户，并向管理员发出任何与所有隐形管理员帐户相关的警报。

4.持续监控DCSync，最后的攻击是由执行DCSync攻击的用户完成的，因为他们具有进行域复制的权限。Preempt通过检测权限访问凭证的滥用和防止关键用户信息的数据泄露，帮助用户阻止DCSync攻击。

部署了Preempt的用户会一直受到NTLM中继攻击的保护，Preempt Platform能够检测LDAP上的攻击，允许用户防止恶意使用特权凭据来访问域控制器。通过采用这种方法，将不会有任何秘密管理员破坏用户的Active Directory管理的系统和帐户。

Preempt行为防火墙可以将每个用户、账户、网络设备予以实时的安全评分，并对威胁进行适度的响应。它可以学习每个用户和设备的正常行为基线，在尝试、权限提升、攻击行为的蛛丝马迹中发现异常的用户、恶意的内部用户和攻击者。

用户行为分析（UEBA）近年来发展速度很快，一些UEBA厂商凭借检测能力上的优势，正在改变现有的网络安全格局，比如Preempt公司，它标榜自己是“业界首个行为防火墙”。