Valtava haavoittuvuus tarkoittaa, että kadonnut sähköpostin salasana voi johtaa hakkeroituun Microsoft Exchange Serveriin, mikä pahempaa

Massiivinen tietoturva-aukko on löydetty, mikä tarkoittaa, että useimmat Microsoft Exchange Server 2013 ja uudemmat voidaan hakkeroida ja antaa rikollisille täydet Domain Controller -järjestelmänvalvojan oikeudet, jolloin he voivat luoda tilejä kohdepalvelimelle ja tulla ja mennä mielensä mukaan.

PrivExchange-hyökkäykseen tarvitaan vain postilaatikon käyttäjän sähköpostiosoite ja salasana, ja joissain tapauksissa ei edes sitä.

Hakkerit voivat murtautua palvelimeen käyttämällä kolmen haavoittuvuuden yhdistelmää, jotka ovat:

1. Microsoft Exchange -palvelimissa on ominaisuus nimeltä Exchange Web Services (EWS), jota hyökkääjät voivat käyttää väärin saadakseen Exchange-palvelimet todentamaan hyökkääjän hallitsemalla verkkosivustolla Exchange-palvelimen tietokonetilillä.
2. Tämä todennus tehdään HTTP:n kautta lähetetyillä NTLM-tiivisteillä, ja Exchange-palvelin ei myöskään pysty asettamaan Sign and Seal -lippuja NTLM-toiminnalle, jolloin NTLM-todennus on alttiin välityshyökkäyksille ja hyökkääjä voi saada Exchange-palvelimen NTLM-hajautusarvon ( Windows-tietokonetilin salasana).
3. Microsoft Exchange -palvelimet on asennettu oletusarvoisesti, ja niillä on pääsy moniin korkean tason toimintoihin, mikä tarkoittaa, että hyökkääjä voi käyttää Exchange-palvelimen äskettäin vaarantunutta tietokonetiliä saadakseen järjestelmänvalvojan käyttöoikeudet yrityksen verkkotunnuksen ohjaimeen, jolloin he voivat luoda lisää takaoven tilejä haluamallaan tavalla.

Hakkerointi toimii täysin korjatuilla Windows-palvelimilla, eikä korjaustiedostoa ole tällä hetkellä saatavilla. On kuitenkin olemassa useita lievennyksiä joka voidaan lukea täältä.

CERT luottaa haavoittuvuuden Dirk-jan Mollemaan. Lue lisää hyökkäyksestä osoitteessa Dirk-janin sivusto täällä.

kautta zdnet.com