Velika ranjivost znači da izgubljena lozinka e-pošte može dovesti do hakiranja Microsoft Exchange Servera, što je još gore

Pronađena je ogromna sigurnosna rupa što znači da se većina poslužitelja Microsoft Exchange 2013 i novijih može hakirati kako bi se kriminalcima dale pune administratorske privilegije Domain Controllera, dopuštajući im da kreiraju račune na ciljnom poslužitelju i dolaze i odlaze po volji.

Sve što je potrebno za PrivExchange napad je e-mail adresa i lozinka korisnika poštanskog sandučića, au nekim okolnostima ni to.

Hakeri mogu kompromitirati poslužitelj koristeći kombinaciju 3 ranjivosti, a to su:

1. Microsoft Exchange poslužitelji imaju značajku pod nazivom Exchange Web Services (EWS) koju napadači mogu zloupotrijebiti kako bi poslužitelji Exchangea provjeravali autentičnost na web-stranici koju kontrolira napadač s računalnim računom Exchange poslužitelja.
2. Ova se provjera autentičnosti obavlja pomoću NTLM hashova koji se šalju putem HTTP-a, a Exchange poslužitelj također ne uspijeva postaviti oznake za znak i pečat za NTLM operaciju, ostavljajući NTLM autentifikaciju ranjivom na relejne napade i dopuštajući napadaču da dobije NTLM hash poslužitelja Exchange ( Windows lozinka računa računala).
3. Poslužitelji Microsoft Exchangea instalirani su prema zadanim postavkama s pristupom mnogim operacijama s visokim privilegijama, što znači da napadač može koristiti novokompromitirani račun računala Exchange poslužitelja kako bi dobio administratorski pristup na kontroleru domene tvrtke, dajući im mogućnost stvaranja više backdoor računa po želji.

Hak radi na potpuno zakrpanim Windows poslužiteljima, a zakrpa trenutno nije dostupna. Međutim, postoji niz ublažavanja koji se ovdje može čitati.

CERT pripisuje ranjivost Dirk-janu Mollemi. Više detalja o napadu pročitajte na Dirk-janova stranica ovdje.

Preko zdnet.com