Massive Schwachstellen bedeuten, dass ein verlorenes E-Mail-Passwort zu einem gehackten Microsoft Exchange Server führen kann, schlimmer noch

Startseite » Microsoft

Symbol für die Lesezeit 2 Minute. lesen

Kalendersymbol Veröffentlicht am

by Surur Davids 

Veröffentlicht am

Teile diesen Artikel

Leser unterstützen MSpoweruser. Wir erhalten möglicherweise eine Provision, wenn Sie über unsere Links kaufen. Tooltip-Symbol

Lesen Sie unsere Offenlegungsseite, um herauszufinden, wie Sie MSPoweruser dabei helfen können, das Redaktionsteam zu unterstützen Lesen Sie weiter

Server gehackt

Es wurde eine massive Sicherheitslücke gefunden, was bedeutet, dass die meisten Microsoft Exchange Server 2013 und höher gehackt werden können, um Kriminellen volle Domänencontroller-Administratorrechte zu geben, sodass sie Konten auf dem Zielserver erstellen und nach Belieben kommen und gehen können.

Für den PrivExchange-Angriff wird lediglich die E-Mail-Adresse und das Passwort eines Postfachbenutzers benötigt, unter Umständen nicht einmal das.

Hacker sind in der Lage, den Server zu kompromittieren, indem sie eine Kombination aus 3 Schwachstellen verwenden:

  1. Microsoft Exchange-Server verfügen über eine Funktion namens Exchange Web Services (EWS), die Angreifer missbrauchen können, um die Exchange-Server dazu zu bringen, sich auf einer von Angreifern kontrollierten Website mit dem Computerkonto des Exchange-Servers zu authentifizieren.
  2. Diese Authentifizierung erfolgt mithilfe von NTLM-Hashes, die über HTTP gesendet werden, und der Exchange-Server kann auch die Sign-and-Seal-Flags für den NTLM-Vorgang nicht setzen, wodurch die NTLM-Authentifizierung anfällig für Relay-Angriffe bleibt und es dem Angreifer ermöglicht wird, den NTLM-Hash des Exchange-Servers zu erhalten ( Kennwort für das Windows-Computerkonto).
  3. Microsoft Exchange-Server werden standardmäßig mit Zugriff auf viele hochprivilegierte Vorgänge installiert, was bedeutet, dass der Angreifer das neu kompromittierte Computerkonto des Exchange-Servers verwenden kann, um Administratorzugriff auf den Domänencontroller eines Unternehmens zu erhalten, was ihm die Möglichkeit gibt, nach Belieben weitere Backdoor-Konten zu erstellen.

Der Hack funktioniert auf vollständig gepatchten Windows-Servern, und derzeit ist kein Patch verfügbar. Es gibt jedoch eine Reihe von Abschwächungen was hier gelesen werden kann.

CERT schreibt die Schwachstelle Dirk-jan Mollema zu. Lesen Sie mehr Details zu dem Angriff unter Dirk-jans Seite hier.

Weitere Informationen zur Stelle und den Ansprechpartner in unserem Hause finden Sie hier: zdnet.com

Mehr zu den Themen: Austausch server, Verwundbarkeit

Surur Davids

Surur Davids Schild

Smartphone-Experte

Surur Davids ist der Gründer von WMPoweruser, aus dem später MSPoweruser.com wurde. Er ist ein Smartphone-Experte mit über einem Jahrzehnt Erfahrung.