Massiv sårbarhed betyder, at mistet e-mail-adgangskode kan føre til hacket Microsoft Exchange Server, endnu værre

Der er fundet et massivt sikkerhedshul, som betyder, at de fleste Microsoft Exchange-servere 2013 og nyere kan hackes for at give kriminelle fulde Domain Controller-administratorrettigheder, så de kan oprette konti på målserveren og komme og gå efter behag.

Alt hvad der er nødvendigt for PrivExchange-angrebet er e-mail-adressen og adgangskoden til en postkassebruger, og i nogle tilfælde ikke engang det.

Hackere er i stand til at kompromittere serveren ved at bruge en kombination af 3 sårbarheder, som er:

1. Microsoft Exchange-servere har en funktion kaldet Exchange Web Services (EWS), som angribere kan misbruge til at få Exchange-serverne til at godkende på et hackerkontrolleret websted med Exchange-serverens computerkonto.
2. Denne godkendelse udføres ved hjælp af NTLM-hashes sendt via HTTP, og Exchange-serveren formår heller ikke at indstille Sign- og Seal-flag for NTLM-operationen, hvilket efterlader NTLM-godkendelsen sårbar over for relæangreb og tillader angriberen at hente Exchange-serverens NTLM-hash ( Windows-computerkontoadgangskode).
3. Microsoft Exchange-servere er installeret som standard med adgang til mange højprivilegerede operationer, hvilket betyder, at angriberen kan bruge Exchange-serverens nyligt kompromitterede computerkonto til at få administratoradgang på en virksomheds Domain Controller, hvilket giver dem mulighed for at oprette flere bagdørskonti efter ønske.

Hacket virker på fuldt patchede Windows-servere, og ingen patch er i øjeblikket tilgængelig. Der er dog en række begrænsninger som kan læses her.

CERT krediterer sårbarheden til Dirk-jan Mollema. Læs mere om angrebet på Dirk-jans side her.

Via zdnet.com