Masivní zranitelnost znamená, že ztracené e-mailové heslo může vést k napadení serveru Microsoft Exchange Server, což je horší

Byla nalezena masivní bezpečnostní díra, což znamená, že většinu serverů Microsoft Exchange Server 2013 a vyšší lze hacknout, aby zločincům poskytla plná oprávnění správce řadiče domény, což jim umožňuje vytvářet účty na cílovém serveru a přicházet a odcházet podle libosti.

K útoku na PrivExchange stačí e-mailová adresa a heslo uživatele poštovní schránky a za určitých okolností ani to ne.

Hackeři jsou schopni ohrozit server pomocí kombinace 3 zranitelností, kterými jsou:

1. Servery Microsoft Exchange mají funkci zvanou Exchange Web Services (EWS), kterou mohou útočníci zneužít k ověření serverů Exchange na webu kontrolovaném útočníkem pomocí účtu počítače serveru Exchange.
2. Tato autentizace se provádí pomocí NTLM hash odeslaných přes HTTP a Exchange server také nedokáže nastavit příznaky Sign a Seal pro operaci NTLM, takže NTLM autentizace je zranitelná vůči předávání útoků a útočníkovi umožňuje získat NTLM hash Exchange serveru ( heslo k účtu počítače se systémem Windows).
3. Servery Microsoft Exchange jsou ve výchozím nastavení nainstalovány s přístupem k mnoha operacím s vysokými oprávněními, což znamená, že útočník může použít nově kompromitovaný počítačový účet serveru Exchange k získání přístupu správce k řadiči domény společnosti, což mu dává možnost libovolně vytvářet další účty typu backdoor.

Hack funguje na plně opravených serverech Windows a v současné době není k dispozici žádná oprava. Existuje však řada zmírnění které si můžete přečíst zde.

CERT připisuje zranitelnost Dirk-janu Mollemovi. Přečtěte si více o útoku na Dirk-janovy stránky zde.

Přes zdnet.com