آسیب پذیری گسترده به این معنی است که گم شدن رمز عبور ایمیل می تواند منجر به هک شدن سرور مایکروسافت اکسچنج، بدتر از آن شود
2 دقیقه خواندن
منتشر شده در
صفحه افشای ما را بخوانید تا بدانید چگونه می توانید به MSPoweruser کمک کنید تا تیم تحریریه را حفظ کند ادامه مطلب
یک حفره امنیتی بزرگ پیدا شده است که به این معنی است که اکثر سرورهای Microsoft Exchange 2013 و بالاتر را می توان هک کرد تا به مجرمان امتیازات مدیریتی کامل Domain Controller داده شود و به آنها اجازه می دهد حساب هایی را در سرور مورد نظر ایجاد کنند و به میل خود بیایند و بروند.
تنها چیزی که برای حمله PrivExchange نیاز است آدرس ایمیل و رمز عبور یک کاربر صندوق پستی است، و در برخی شرایط حتی آن هم نیست.
هکرها با استفاده از ترکیبی از 3 آسیب پذیری می توانند سرور را به خطر بیاندازند که عبارتند از:
- سرورهای Microsoft Exchange یک ویژگی به نام خدمات وب Exchange (EWS) دارند که مهاجمان می توانند از آن سوء استفاده کنند تا سرورهای Exchange را در یک وب سایت تحت کنترل مهاجم با حساب رایانه سرور Exchange احراز هویت کنند.
- این احراز هویت با استفاده از هشهای NTLM ارسال شده از طریق HTTP انجام میشود و سرور Exchange همچنین نمیتواند پرچمهای Sign و Seal را برای عملیات NTLM تنظیم کند، و احراز هویت NTLM را در برابر حملات رله آسیبپذیر میکند و به مهاجم اجازه میدهد تا هش NTLM سرور Exchange را به دست آورد. رمز عبور حساب کامپیوتر ویندوز).
- سرورهای Microsoft Exchange به طور پیشفرض با دسترسی به بسیاری از عملیاتهای دارای امتیاز بالا نصب میشوند، به این معنی که مهاجم میتواند از حساب رایانه جدید سرور Exchange برای دسترسی ادمین به کنترلکننده دامنه یک شرکت استفاده کند و به آنها توانایی ایجاد حسابهای درب پشتی بیشتری را به دلخواه بدهد.
این هک روی سرورهای ویندوز کاملاً وصله شده کار می کند و در حال حاضر هیچ وصله ای در دسترس نیست. با این حال تعدادی از کاهش وجود دارد که می تواند در اینجا بخواند.
CERT این آسیبپذیری را به Dirk-jan Mollema نسبت میدهد. جزئیات بیشتر این حمله را در سایت دیرک جان اینجاست.
از طريق zdnet.com