PoC攻击代码授予标准Microsoft Exchange用户域管理员权限( 二 )_：PoC攻击代码授予标准MicrosoftExchan

默认情况下，Exchange服务器的权限太高；NTLM身份验证易受中继攻击；Exchange具有一项功能，可以使用Exchange服务器的计算机帐户对攻击者进行身份验证。Mollema还提供了一个脚本，该脚本允许未经身份验证的攻击，在该攻击中，可以将同一网络段中的用户的身份验证中继到Exchange Web服务（EWS），并使用其账号凭证来执行该攻击。

紧急需要的行动

此问题会影响已经打完补丁的Microsoft Exchange服务器，但安全研究员列出了以下缓解措施，其中包括Microsoft的建议：

删除Exchange在域对象上拥有的不必要的高权限（以下包含引用）。启用LDAP签名并启用LDAP Channel Binding以分别阻止中继到LDAP和LDAPS。 https://support.microsoft.com/en-us/help/4034879/how-to-add-the-ldapenforcechannelbinding-registry-entry阻止Exchange服务器连接到任意端口上的工作站。对IIS中的Exchange端点启用扩展保护以进行身份验证。这将验证NTLM身份验证中的通道绑定参数，该参数将NTLM身份验证绑定到一个TLS连接，并阻止中继到Exchange Web服务 https://docs.microsoft.com/en-us/previous-versions/dotnet/netframework-3.5/dd767318(v=vs.90)如Microsoft针对CVE-2018-8518的缓解措施中所述,删除注册表项，使重新传送回Exchange服务器成为可能。 https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-8581（Tenable提供了缓解措施的覆盖范围)在Exchange服务器（最好是域中的所有其他服务器和工作站）上强制SMB签名，以防止对SMB的跨协议中继攻击。识别受影响的系统