Kerentanan besar-besaran berarti kehilangan kata sandi email dapat menyebabkan Microsoft Exchange Server diretas, lebih buruk

Sebuah lubang keamanan besar telah ditemukan yang berarti sebagian besar Server Microsoft Exchange 2013 dan di atasnya dapat diretas untuk memberikan hak istimewa admin Pengontrol Domain penuh kepada penjahat, memungkinkan mereka membuat akun di server target dan datang dan pergi sesuka hati.

Semua yang diperlukan untuk serangan PrivExchange adalah alamat email dan kata sandi pengguna kotak surat, dan dalam beberapa keadaan bahkan tidak.

Peretas dapat mengkompromikan server menggunakan kombinasi 3 kerentanan, yaitu:

1. Server Microsoft Exchange memiliki fitur yang disebut Exchange Web Services (EWS) yang dapat disalahgunakan oleh penyerang untuk membuat server Exchange mengautentikasi di situs web yang dikendalikan penyerang dengan akun komputer server Exchange.
2. Otentikasi ini dilakukan menggunakan hash NTLM yang dikirim melalui HTTP, dan server Exchange juga gagal untuk mengatur tanda Tanda dan Segel untuk operasi NTLM, membuat otentikasi NTLM rentan terhadap serangan relai, dan memungkinkan penyerang untuk mendapatkan hash NTLM server Exchange ( Kata sandi akun komputer Windows).
3. Server Microsoft Exchange diinstal secara default dengan akses ke banyak operasi dengan hak istimewa tinggi, yang berarti penyerang dapat menggunakan akun komputer server Exchange yang baru disusupi untuk mendapatkan akses admin pada Pengontrol Domain perusahaan, memberi mereka kemampuan untuk membuat lebih banyak akun pintu belakang sesuka hati.

Peretasan bekerja pada server Windows yang sepenuhnya ditambal, dan saat ini tidak ada tambalan yang tersedia. Namun ada sejumlah mitigasi yang bisa dibaca disini.

CERT mengkreditkan kerentanan terhadap Dirk-jan Mollema. Baca lebih detail tentang serangan di Situs Dirk-jan di sini.

melalui zdnet.com