敏感 Exchange 权限

critical

语言：

描述

本地 Microsoft Exchange 严重依赖与 Active Directory (AD) 的深度集成，以实现用户身份验证、邮箱管理和一些配置存储等基本功能。这种集成会自动向 AD 环境中的特定 Exchange 组授予广泛权限，这可能会导致攻击面扩大。如今，攻击者经常利用这些权限来提升特权并获得对整个域的控制权。

解决方案

为了缓解本地 Microsoft Exchange 的风险，Tenable 建议首先采用 Active Directory 拆分权限模型，因为该模型会显著降低攻击者利用 Exchange 入侵 AD 用户和组的能力。此外，强制执行更严格的访问控制列表 (ACL) 会进一步限制 Exchange 对基本对象的权限，从而保护管理帐户和敏感服务帐户免遭未经授权的修改。

另见

Pwned by the Mail Carrier

Exchange privilege escalations to Active Directory

Configure Exchange Server for split permissions

Exchange 2013 deployment permissions reference

指标详细信息

名称: 敏感 Exchange 权限

代码名称: C-EXCHANGE-PERMISSIONS

严重性: Critical

类型: Active Directory Indicator of Exposure

Family: 访问控制和权限

MITRE ATT&CK 信息:

策略: TA0004 - 特权提升
- 技术: T1098 - 帐户操纵
策略: TA0007 - 发现
- 技术: T1069 - 权限组发现

攻击者已知工具

Andrew Robbins (@_wald0), Rohan Vazarkar (@CptJesus), Will Schroeder (@harmj0y): BloodHound

dirkjanm: PrivExchange