偵測

機密 Exchange 權限

critical

語言:

說明

為了讓使用者驗證、信箱管理和某些設定儲存等基本功能正常運作,Microsoft Exchange 內部部署環境非常仰賴與 Active Directory (AD) 的深度整合。此整合會自動向 AD 環境中的特定 Exchange 群組授予廣泛權限,可能會導致攻擊破綻增加。 現今,攻擊者經常利用這些權限,以提升特權並取得整個網域的控制權。

解決方案

為了緩解 Microsoft Exchange 內部部署環境的風險,Tenable 建議先採用 Active Directory 拆分權限​模式,因為這可以大幅降低 Exchange 危害 AD 使用者和群組的可能性。此外,強制執行更嚴格的存取控制清單 (ACL) 機制可進一步限制 Exchange 的基本物件權限,以保護系統管理和機密服務帳戶免於未經授權的修改。

另請參閱

Pwned by the Mail Carrier

Exchange privilege escalations to Active Directory

Configure Exchange Server for split permissions

Exchange 2013 deployment permissions reference

指標詳細資料

名稱: 機密 Exchange 權限

代碼名稱: C-EXCHANGE-PERMISSIONS

嚴重性: Critical

類型: Active Directory Indicator of Exposure

Family: 存取控制和權限

MITRE ATT&CK 資訊:

攻擊者已知工具

Andrew Robbins (@_wald0), Rohan Vazarkar (@CptJesus), Will Schroeder (@harmj0y): BloodHound

dirkjanm: PrivExchange