A hatalmas sebezhetőség azt jelenti, hogy az e-mail-jelszavak elvesztése a Microsoft Exchange Server feltöréséhez vezethet, ami még rosszabb

Hatalmas biztonsági rést találtak, ami azt jelenti, hogy a legtöbb Microsoft Exchange Server 2013 és újabb feltörhető, hogy a bűnözők teljes Domain Controller rendszergazdai jogosultságokat kapjanak, lehetővé téve számukra, hogy fiókokat hozzanak létre a célkiszolgálón, és tetszés szerint jöhetnek-mennek.

A PrivExchange támadáshoz csak egy postafiók-felhasználó e-mail címére és jelszavára van szükség, és bizonyos esetekben még erre sem.

A hackerek 3 sebezhetőség kombinációjával képesek feltörni a szervert, amelyek a következők:

1. A Microsoft Exchange kiszolgálók rendelkeznek egy Exchange Web Services (EWS) nevű szolgáltatással, amellyel a támadók visszaélve hitelesíthetik az Exchange-kiszolgálókat egy támadó által vezérelt webhelyen az Exchange-kiszolgáló számítógépfiókjával.
2. Ez a hitelesítés HTTP-n keresztül küldött NTLM-kivonatokkal történik, és az Exchange szerver sem tudja beállítani az Sign and Seal jelzőket az NTLM művelethez, így az NTLM hitelesítés sebezhetővé válik a támadások továbbításával szemben, és lehetővé teszi a támadó számára, hogy megszerezze az Exchange szerver NTLM-kivonatát ( Windows számítógép-fiók jelszava).
3. A Microsoft Exchange-kiszolgálók alapértelmezés szerint számos magas jogosultságú művelethez való hozzáféréssel vannak telepítve, ami azt jelenti, hogy a támadó az Exchange-szerver újonnan feltört számítógépfiókjával adminisztrátori hozzáférést kaphat a vállalat tartományvezérlőjéhez, így tetszőlegesen több hátsó ajtó fiókot hozhat létre.

A feltörés a teljesen javított Windows-kiszolgálókon működik, és jelenleg nem érhető el javítás. Van azonban számos enyhítés amely itt olvasható.

CERT Dirk-jan Mollema nevéhez fűződik a sebezhetőség. A támadásról bővebben itt olvashat Dirk-jan oldala itt.

Keresztül zdnet.com