在Microsoft Exchange Server 2013、2016和2019中发现了一个新漏洞。此新漏洞称为PrivExchange ，实际上是一个零日漏洞。

利用此安全漏洞，攻击者可以在简单的Python工具的帮助下，使用交换邮箱用户的凭据获得域控制器管理员特权。

一周前，研究员Dirk-Jan Mollema在他的个人博客中强调了此新漏洞。 他在博客中披露了有关PrivExchange零日漏洞的重要信息。

他写道，这不是一个单一的缺陷，它是否包含3个组件，这些组件被组合在一起以将攻击者从具有邮箱的任何用户的访问权限升级到Domain Admin。

这三个缺陷是：

• 默认情况下，Exchange Server具有（太）高特权
• NTLM身份验证容易受到中继攻击
• Exchange具有的功能使其可以使用Exchange服务器的计算机帐户向攻击者进行身份验证。

根据研究人员的说法，整个攻击可以使用名为privexchange.py和ntlmrelayx的两个工具执行。 但是，如果攻击者缺少必要的用户凭据，则仍然可能发生相同的攻击。

在这种情况下，修改后的httpattack.py可以与ntlmrelayx一起使用，从网络的角度进行攻击，而无需任何凭据。

如何缓解Microsoft Exchange Server漏洞

Microsoft尚未提出修复此零日漏洞的补丁程序。 但是，在同一博文中，Dirk-Jan Mollema传达了一些缓解措施，这些缓解措施可用于保护服务器免受攻击。

拟议的缓解措施是：

• 阻止交换服务器与其他工作站建立关系
• 取消注册码
• 在Exchange服务器上实施SMB签名
• 从Exchange域对象中删除不必要的特权
• 在IIS中的Exchange终结点上启用身份验证扩展保护（不包括Exchange后端终结点，因为这会破坏Exchange）。

此外，您可以为Microsoft Server 2013安装这些防病毒解决方案之一。

已在Exchange 2013、2016和2019等Exchange和Windows服务器域控制器的完全修补版本上确认了PrivExchange攻击。