Detecciones

Permisos de Exchange confidenciales

critical

Idioma:

Descripción

Microsoft Exchange local se basa en gran medida en la integración completa con Active Directory (AD) para funciones esenciales, como la autenticación de usuarios, la administración de buzones de correo y parte del almacenamiento de configuración. Esta integración concede automáticamente permisos amplios a grupos de Exchange específicos dentro del entorno de AD, lo que podría ampliar la superficie de ataque. En la actualidad, los atacantes suelen explotar estos permisos para escalar privilegios y obtener el control de todo el dominio.

Solución

Para mitigar los riesgos de Microsoft Exchange local, Tenable recomienda adoptar primero el modelo de permisos divididos de Active Directory, ya que reduce significativamente la capacidad de Exchange de poner en peligro a usuarios y grupos de AD. Además, exigir listas de control de acceso (ACL) más estrictas limita aún más los permisos de Exchange a objetos esenciales, lo que protege las cuentas de servicio administrativas y confidenciales frente a modificaciones no autorizadas.

Consulte también

Pwned by the Mail Carrier

Exchange privilege escalations to Active Directory

Configure Exchange Server for split permissions

Exchange 2013 deployment permissions reference

Detalles del indicador

Nombre: Permisos de Exchange confidenciales

Nombre en clave: C-EXCHANGE-PERMISSIONS

Gravedad: Critical

Tipo: Active Directory Indicator of Exposure

Family: Control de acceso y permisos

Información de MITRE ATT&CK:

Táctica: TA0004 - Privilege Escalation (texto en inglés)
- Técnicas: T1098 - Account Manipulation (texto en inglés)
Táctica: TA0007 - Discovery (texto en inglés)
- Técnicas: T1069 - Permission Groups Discovery (texto en inglés)

Herramientas conocidas de atacantes

Andrew Robbins (@_wald0), Rohan Vazarkar (@CptJesus), Will Schroeder (@harmj0y): BloodHound

dirkjanm: PrivExchange