#Privilege on #Exchange API Call
سرور های Exchange همونطور که میدونید از سرویس SOAP که یک سرویس XML پایه هستش برای ارتباط با دیوایس های دیگه استفاده میکنه, مدیریت کردن این سرویس در امر امن سازی سرور بسیار مهم و حیاتی میتونه باشه,
برای مثال کاربران دامنه Active Directory بصورت پیش فرض از سطح دسترسی بالا استفاده میکنند, ئ اگر ارتباط با API بر بستر پروتکل TLS نباشه میشه حملاتی مانند Relay Attack پیاده کرد, و با استفاده از یک Refresher مقادیر Authentication ویندوز که NTLM نام داره رو بدست آورد,
مشکل در API سرور Exchange از آنجایی شروع شد که هکر با استفاده از PushSubscription میتونه درخواست Modify و بالا بردن سطح دسترسی یک کاربر بر روی دامنه AD رو داشته باشه, یعنی ارتباط مستقیم با DCsync یا Domain Controller Sync داشته باشه,
کافیه ارتباط با API گرفته و بعد از دریافت ارتباط کاربر سطح بالا با NTLM Relayx هکر, هکر دامنه مدنظر خودش رو با hash ادمین Modify کرده و تغییر خودش رو بر روی ِDomain Controller اعمال میکنه, جزئیات بیشتر این حمله رو اینجا بخونید.
Tools
@Unk9vvN
سرور های Exchange همونطور که میدونید از سرویس SOAP که یک سرویس XML پایه هستش برای ارتباط با دیوایس های دیگه استفاده میکنه, مدیریت کردن این سرویس در امر امن سازی سرور بسیار مهم و حیاتی میتونه باشه,
برای مثال کاربران دامنه Active Directory بصورت پیش فرض از سطح دسترسی بالا استفاده میکنند, ئ اگر ارتباط با API بر بستر پروتکل TLS نباشه میشه حملاتی مانند Relay Attack پیاده کرد, و با استفاده از یک Refresher مقادیر Authentication ویندوز که NTLM نام داره رو بدست آورد,
مشکل در API سرور Exchange از آنجایی شروع شد که هکر با استفاده از PushSubscription میتونه درخواست Modify و بالا بردن سطح دسترسی یک کاربر بر روی دامنه AD رو داشته باشه, یعنی ارتباط مستقیم با DCsync یا Domain Controller Sync داشته باشه,
کافیه ارتباط با API گرفته و بعد از دریافت ارتباط کاربر سطح بالا با NTLM Relayx هکر, هکر دامنه مدنظر خودش رو با hash ادمین Modify کرده و تغییر خودش رو بر روی ِDomain Controller اعمال میکنه, جزئیات بیشتر این حمله رو اینجا بخونید.
Tools
@Unk9vvN
#Exchange Server #SSRF Vulnerability
در روزهای گذشته خبر هک شدن بسیاری از سرویس های Exchange Server ماکروسافت به واسطه چند آسیب پذیری زنجیر وار پخش شده که توجهات رو به خودش جلب کرده,
موضوعی که در این حمله که گفته میشه از طرف کشور چین بوده, اول از همه اینکه آسیب پذیری Initial Access یک SSRF بوده که بواسطه اون هکر میتونسته بصورت unauthenticated دسترسی به ECP پیدا کنه و بواسطه آسیب پذیری دومی که از نوع post-authentication arbitrary write file بوده اطلاعات احراز ادمین ها رو دزدیده و در نهایت با استفاده از یک آسیب پذیری deserialization اقدام به اجرای کد سطح SYSTEM بکنه, ماکروسافت اسکریپتی رو برای شناسایی سرورهای آسیب پذیر طراحی کرده
┌──(unk9vvn㉿avi)-[~]
└─$
└─$
@Unk9vvN
در روزهای گذشته خبر هک شدن بسیاری از سرویس های Exchange Server ماکروسافت به واسطه چند آسیب پذیری زنجیر وار پخش شده که توجهات رو به خودش جلب کرده,
موضوعی که در این حمله که گفته میشه از طرف کشور چین بوده, اول از همه اینکه آسیب پذیری Initial Access یک SSRF بوده که بواسطه اون هکر میتونسته بصورت unauthenticated دسترسی به ECP پیدا کنه و بواسطه آسیب پذیری دومی که از نوع post-authentication arbitrary write file بوده اطلاعات احراز ادمین ها رو دزدیده و در نهایت با استفاده از یک آسیب پذیری deserialization اقدام به اجرای کد سطح SYSTEM بکنه, ماکروسافت اسکریپتی رو برای شناسایی سرورهای آسیب پذیر طراحی کرده
┌──(unk9vvn㉿avi)-[~]
└─$
sudo wget https://raw.githubusercontent.com/microsoft/CSS-Exchange/main/Security/http-vuln-cve2021-26855.nse -O /usr/share/nmap/scripts/http-vuln-cve2021-26855.nse
┌──(unk9vvn㉿avi)-[~]└─$
nmap -p 443 --script http-vuln-cve2021-26855 -Pn $TARGET
https://us-cert.cisa.gov/ncas/alerts/aa21-062a@Unk9vvN
#Microsoft #Exchange #Vulnerabilites
اخیرا یک ارائه ای از محققی با نام Orange Tsai در کنفرانس Blackhat 2021 منتشر شده که آسیب پذیری ProxyLogon و Proxyshell و ProxyOracle رو معرفی میکنه
از اونجا که سرویس دهنده Exchange در سازمان های دولتی بسیار زیاد استفاده میشه این آسیب پذیری ها میتونن مهم باشن، در تصویر 0 ساختمان ارتباط FrontEnd با BackEnd این سرویس دهنده دیده میشه که یک ماژول درونی به نام HTTP Proxy Module مامور انتقال درخواست ها به BackEnd سرویس هستش
در تصویر 1 فرایند تکامل سرویس ها را میبینید که در نسخه های 2016/2019 ماژولی با نام Client Access Service اضافه شده که در تصویر 2 فرایند ارتباط این CAS با BackEnd مشخصه، و نشون میده که Request ها قراره HTTP Proxy بشه به BackEnd
در تصویر ۳ فرایند این Proxying درخواست هارو مشاهده میکنید که خب از Header و Cookie ها کپی گرفته میشه و در قسمت Proxy Section فرایند Authenticate و Authotize درخواست اتفاق می افته
در تصویر 4 آسیب پذیری SSRF رو میبینیم که بر روی یکی از هدر های تنظیم شده CAS وجود داره و همین موجب اولین قدم رخداد حمله خواهد بود.
@Unk9vvN
اخیرا یک ارائه ای از محققی با نام Orange Tsai در کنفرانس Blackhat 2021 منتشر شده که آسیب پذیری ProxyLogon و Proxyshell و ProxyOracle رو معرفی میکنه
از اونجا که سرویس دهنده Exchange در سازمان های دولتی بسیار زیاد استفاده میشه این آسیب پذیری ها میتونن مهم باشن، در تصویر 0 ساختمان ارتباط FrontEnd با BackEnd این سرویس دهنده دیده میشه که یک ماژول درونی به نام HTTP Proxy Module مامور انتقال درخواست ها به BackEnd سرویس هستش
در تصویر 1 فرایند تکامل سرویس ها را میبینید که در نسخه های 2016/2019 ماژولی با نام Client Access Service اضافه شده که در تصویر 2 فرایند ارتباط این CAS با BackEnd مشخصه، و نشون میده که Request ها قراره HTTP Proxy بشه به BackEnd
در تصویر ۳ فرایند این Proxying درخواست هارو مشاهده میکنید که خب از Header و Cookie ها کپی گرفته میشه و در قسمت Proxy Section فرایند Authenticate و Authotize درخواست اتفاق می افته
در تصویر 4 آسیب پذیری SSRF رو میبینیم که بر روی یکی از هدر های تنظیم شده CAS وجود داره و همین موجب اولین قدم رخداد حمله خواهد بود.
@Unk9vvN
#Microsoft #Exchange #Zeroday
طی یک حمله مداوم پیشرفته انجام شده، دو آسیب پذیری روز صفر از Microsoft Exchange مشخص شد، آسیب پذیری اول یعنی CVE-2022-41040 بر روی نقطه انتهایی Powershell API قرار داره که مبتنی بر مکانیزم Autodiscover امکان دسترسی بهش وجود داره.
مهاجم بر روی پروتکل WSMAN که روی سرویس WBEM قرار دارد، آسیب پذیری اجرای کد رخ داده است، این اجرای کد به این دلیل بوده که مهاجم میتوانه بواسطه سرویس SOAP با نوع محتوای XML مجال اینو میده بشه اسکریپت Powershell اجرا کرد بصورت Windows Remote Management.
اما مهاجم برای اجرای shell خودش نیاز داره که سریعا بیاد و طول عمر ارتباط رو افزایش بده چرا که زمان انقضا بصورت پیشفرض کوتاه است، برای همین یک درخواست ویژه به WSMAN ارسال میکنه که Keep Alive فعال بشه.
بعد آسیب پذیری دوم استفاده خواهد (CVE-2022-41082) شد که بواسطه PSRemoting یک درخواست به Address Book بصورت Encoded و داده Serialize شده ارسال میکنه تا بواسطه
@Unk9vvN
طی یک حمله مداوم پیشرفته انجام شده، دو آسیب پذیری روز صفر از Microsoft Exchange مشخص شد، آسیب پذیری اول یعنی CVE-2022-41040 بر روی نقطه انتهایی Powershell API قرار داره که مبتنی بر مکانیزم Autodiscover امکان دسترسی بهش وجود داره.
مهاجم بر روی پروتکل WSMAN که روی سرویس WBEM قرار دارد، آسیب پذیری اجرای کد رخ داده است، این اجرای کد به این دلیل بوده که مهاجم میتوانه بواسطه سرویس SOAP با نوع محتوای XML مجال اینو میده بشه اسکریپت Powershell اجرا کرد بصورت Windows Remote Management.
اما مهاجم برای اجرای shell خودش نیاز داره که سریعا بیاد و طول عمر ارتباط رو افزایش بده چرا که زمان انقضا بصورت پیشفرض کوتاه است، برای همین یک درخواست ویژه به WSMAN ارسال میکنه که Keep Alive فعال بشه.
بعد آسیب پذیری دوم استفاده خواهد (CVE-2022-41082) شد که بواسطه PSRemoting یک درخواست به Address Book بصورت Encoded و داده Serialize شده ارسال میکنه تا بواسطه
System.UnitySerializationHolder یک شیُ از کلاس System.Windows.Markup.XamlReader رو ایجاد کرده و داده های XAML پیلود ارسالی رو پردازش کند.@Unk9vvN
This media is not supported in your browser
VIEW IN TELEGRAM
#Unpatched #Powerful #SSRF in #Exchange
اخیرا یک آسیب پذیری از مایکروسافت Exchange مطرح شده که محقق اعلام میکنه، مایکروسافت آسیب پذیری SSRF کشف شده رو در سطح حساسیت بالا نمیدونه و اصلاح نمیکند.
آسیب پذیری در Attachment ایجاد ایمیل است که با تابع
در تابع
در این تابع یک تماس با
نهایتا در asynchronous task یک پیاده سازی از کلاس
@Unk9vvN
اخیرا یک آسیب پذیری از مایکروسافت Exchange مطرح شده که محقق اعلام میکنه، مایکروسافت آسیب پذیری SSRF کشف شده رو در سطح حساسیت بالا نمیدونه و اصلاح نمیکند.
آسیب پذیری در Attachment ایجاد ایمیل است که با تابع
CreateAttachmentFromUri فعال شده و از Methods های Exchange OWAService استفاده میکند.در تابع
CreateAttachmentFromUri یک Initialize برای تماس با Execute method پیاده سازی میشود که تماسی با تابع InternalExecute گرفته خواهد شد.در این تابع یک تماس با
CreateAttachmentFromUri.DownloadAndAttachFileFromUri گرفته میشود و پارامتر های uri ، name ، subscriptionId و غیره به آن پاس داده میشود که ورودی uri برای مهاجم مهم است.نهایتا در asynchronous task یک پیاده سازی از کلاس
HttpClient ساخته میشود، بعد uri پاس داده شده مهاجم در httpResponseMessage ریخته شده و در نهایت در تابع CreateAttachmentAndSendPendingGetNotification داده دریافتی از Get HTTP به عنوان یک Pending Notification ایجاد خواهد شد.@Unk9vvN