Vulnerabilidad masiva significa que la contraseña de correo electrónico perdida puede conducir a Microsoft Exchange Server pirateado, peor

Inicio » Microsoft

Icono de tiempo de lectura 2 minuto. leer

Icono de calendario Publicado el

by Surur Davids 

Publicado en

Compartir este artículo

Los lectores ayudan a respaldar a MSpoweruser. Es posible que obtengamos una comisión si compra a través de nuestros enlaces. Icono de información sobre herramientas

Lea nuestra página de divulgación para descubrir cómo puede ayudar a MSPoweruser a sostener el equipo editorial. Leer más

servidor pirateado

Se encontró un agujero de seguridad masivo, lo que significa que la mayoría de los servidores de Microsoft Exchange 2013 y superiores pueden ser pirateados para otorgar a los delincuentes privilegios de administrador de controlador de dominio completos, lo que les permite crear cuentas en el servidor de destino y entrar y salir cuando lo deseen.

Todo lo que se necesita para el ataque PrivExchange es la dirección de correo electrónico y la contraseña de un usuario del buzón y, en algunas circunstancias, ni siquiera eso.

Los piratas informáticos pueden comprometer el servidor utilizando una combinación de 3 vulnerabilidades, que son:

  1. Los servidores de Microsoft Exchange tienen una característica llamada Exchange Web Services (EWS) que los atacantes pueden abusar para que los servidores de Exchange se autentiquen en un sitio web controlado por el atacante con la cuenta de la computadora del servidor de Exchange.
  2. Esta autenticación se realiza mediante hash NTLM enviados a través de HTTP, y el servidor de Exchange tampoco establece los indicadores de Firmar y sellar para la operación NTLM, lo que deja la autenticación NTLM vulnerable a los ataques de retransmisión y permite que el atacante obtenga el hash NTLM del servidor Exchange ( contraseña de la cuenta de la computadora de Windows).
  3. Los servidores de Microsoft Exchange se instalan de manera predeterminada con acceso a muchas operaciones con privilegios elevados, lo que significa que el atacante puede usar la cuenta de la computadora del servidor de Exchange recientemente comprometida para obtener acceso de administrador en el controlador de dominio de una empresa, lo que le permite crear más cuentas de puerta trasera a voluntad.

El truco funciona en servidores de Windows con parches completos y actualmente no hay ningún parche disponible. Sin embargo, hay una serie de mitigaciones que se puede leer aquí.

CERT atribuye la vulnerabilidad a Dirk-jan Mollema. Lea más detalles sobre el ataque en El sitio de Dirk-jan aquí.

Vía ZDNet.com

Más sobre los temas: servidor de intercambio, vulnerabilidad

Surur Davids

Surur Davids Proteccion

Experto en teléfonos inteligentes

Surur Davids es el fundador de WMPoweruser, que luego se convirtió en MSPoweruser.com. Es un experto en teléfonos inteligentes con más de una década de experiencia.