Un'enorme vulnerabilità significa che la password e-mail persa può portare all'hacking di Microsoft Exchange Server, peggio ancora

Casa » Microsoft

Icona del tempo di lettura 2 minuto. leggere

Icona del calendario Edizione del

by Surur Davids 

pubblicato su

Condividi questo articolo

I lettori aiutano a supportare MSpoweruser. Potremmo ricevere una commissione se acquisti tramite i nostri link. Icona descrizione comando

Leggi la nostra pagina informativa per scoprire come puoi aiutare MSPoweruser a sostenere il team editoriale Per saperne di più

server violato

È stata rilevata un'enorme falla nella sicurezza, il che significa che la maggior parte dei server Microsoft Exchange 2013 e versioni successive può essere violata per fornire ai criminali i privilegi di amministratore del controller di dominio completo, consentendo loro di creare account sul server di destinazione e andare e venire a piacimento.

Tutto ciò che serve per l'attacco PrivExchange è l'indirizzo e-mail e la password di un utente della casella di posta, e in alcune circostanze nemmeno quello.

Gli hacker sono in grado di compromettere il server utilizzando una combinazione di 3 vulnerabilità, che sono:

  1. I server Microsoft Exchange dispongono di una funzionalità denominata Servizi Web Exchange (EWS) di cui gli aggressori possono abusare per fare in modo che i server Exchange eseguano l'autenticazione su un sito Web controllato da un utente malintenzionato con l'account computer del server Exchange.
  2. Questa autenticazione viene eseguita utilizzando gli hash NTLM inviati tramite HTTP e anche il server Exchange non riesce a impostare i flag Sign and Seal per l'operazione NTLM, lasciando l'autenticazione NTLM vulnerabile agli attacchi di inoltro e consentendo all'autore dell'attacco di ottenere l'hash NTLM del server Exchange ( password dell'account del computer Windows).
  3. I server Microsoft Exchange sono installati per impostazione predefinita con accesso a molte operazioni con privilegi elevati, il che significa che l'autore dell'attacco può utilizzare l'account del computer appena compromesso del server Exchange per ottenere l'accesso come amministratore sul controller di dominio di un'azienda, dando loro la possibilità di creare più account backdoor a piacimento.

L'hack funziona su server Windows completamente patchati e al momento non è disponibile alcuna patch. Vi sono tuttavia una serie di attenuazioni che si possono leggere qui.

CERT attribuisce la vulnerabilità a Dirk-jan Mollema. Maggiori dettagli sull'attacco a Il sito di Dirk-jan qui.

via zdnet.com

Maggiori informazioni sugli argomenti: server di scambio, vulnerabilità

Surur Davids

Surur Davids Scudo

Esperto di smartphone

Surur Davids è il fondatore di WMPoweruser che in seguito divenne MSPoweruser.com. È un esperto di smartphone con oltre un decennio di esperienza.