Познай свой Exchange сервер и OWA
Многие компании используют решение от Microsoft для организации отправки и получения писем, но мало кто знает, какие недостатки и уязвимости могут существовать в Exchange и OWA.
Общеизвестные уязвимости, некоторые из них:
▫️ ProxyLogon: позволяет злоумышленнику обойти аутентификацию и выдать себя за администратора.
▫️ ProxyShell: набор из трех уязвимостей, которые позволяют удаленное выполнение кода без аутентификации.
▫️ ProxyToken: позволяет злоумышленнику получить письма произвольных пользователей.
Многие их них — цепочки из нескольких уязвимостей, например, ProxyShell объединяет в себя CVE-2021-34473, CVE-2021-34523, CVE-2021-31207.
Чтобы проверить, уязвим ли сервер к подобным багам, можно воспользоваться сканерами, например, Nuclei или готовыми скриптами от сообщества.
Некоторые версии имеют недостатки, которые могут помочь в организации бушующих атак.
Известные недостатки:
▫️Перечисление имени пользователя на основе времени (Timing-Based Username Enumeration): атака заключается в том, что OWA отвечает с задержкой, если при аутентификации указана существующая учетная запись, даже если пароль неверный. Таким образом, злоумышленник может определить email-адреса сотрудников для последующих атак.
▫️Password Spraying: атака, при которой фиксируется пароль, а логин перебирается. Применяется, чтобы обойти механизм блокировки учетной записи при неправильно введенном пароле более N-раз за промежуток времени.
Как быть?
→ Держим свое ПО в актуальном состоянии и применяем обновления безопасности.
→ Используем строгую парольную политику и двухфакторную аутентификацию.
→ Если география легитимных пользователей известная, блокируем остальных по Гео-признакам.
→ Использование CAPTCHA (сложно для OWA, но возможно).
Кстати, у кого-то был опыт использования https://www.messageware.com/epg/? Поделитесь своим мнением)
Многие компании используют решение от Microsoft для организации отправки и получения писем, но мало кто знает, какие недостатки и уязвимости могут существовать в Exchange и OWA.
Общеизвестные уязвимости, некоторые из них:
▫️ ProxyLogon: позволяет злоумышленнику обойти аутентификацию и выдать себя за администратора.
▫️ ProxyShell: набор из трех уязвимостей, которые позволяют удаленное выполнение кода без аутентификации.
▫️ ProxyToken: позволяет злоумышленнику получить письма произвольных пользователей.
Многие их них — цепочки из нескольких уязвимостей, например, ProxyShell объединяет в себя CVE-2021-34473, CVE-2021-34523, CVE-2021-31207.
Чтобы проверить, уязвим ли сервер к подобным багам, можно воспользоваться сканерами, например, Nuclei или готовыми скриптами от сообщества.
Некоторые версии имеют недостатки, которые могут помочь в организации бушующих атак.
Известные недостатки:
▫️Перечисление имени пользователя на основе времени (Timing-Based Username Enumeration): атака заключается в том, что OWA отвечает с задержкой, если при аутентификации указана существующая учетная запись, даже если пароль неверный. Таким образом, злоумышленник может определить email-адреса сотрудников для последующих атак.
▫️Password Spraying: атака, при которой фиксируется пароль, а логин перебирается. Применяется, чтобы обойти механизм блокировки учетной записи при неправильно введенном пароле более N-раз за промежуток времени.
Как быть?
→ Держим свое ПО в актуальном состоянии и применяем обновления безопасности.
→ Используем строгую парольную политику и двухфакторную аутентификацию.
→ Если география легитимных пользователей известная, блокируем остальных по Гео-признакам.
→ Использование CAPTCHA (сложно для OWA, но возможно).
Кстати, у кого-то был опыт использования https://www.messageware.com/epg/? Поделитесь своим мнением)