Enorme kwetsbaarheid betekent dat verloren e-mailwachtwoord kan leiden tot gehackte Microsoft Exchange Server, erger nog

Er is een enorm beveiligingslek gevonden, wat betekent dat de meeste Microsoft Exchange Servers van 2013 en hoger kunnen worden gehackt om criminelen volledige beheerdersrechten voor domeincontrollers te geven, waardoor ze accounts op de doelserver kunnen maken en naar believen kunnen komen en gaan.

Het enige dat nodig is voor de PrivExchange-aanval is het e-mailadres en wachtwoord van een mailboxgebruiker, en in sommige gevallen zelfs dat niet.

Hackers kunnen de server binnendringen door een combinatie van 3 kwetsbaarheden te gebruiken, namelijk:

1. Microsoft Exchange-servers hebben een functie genaamd Exchange Web Services (EWS) die aanvallers kunnen misbruiken om de Exchange-servers te laten verifiëren op een door een aanvaller gecontroleerde website met het computeraccount van de Exchange-server.
2. Deze authenticatie wordt gedaan met behulp van NTLM-hashes die via HTTP worden verzonden, en de Exchange-server slaagt er ook niet in de Sign and Seal-vlaggen in te stellen voor de NTLM-bewerking, waardoor de NTLM-authenticatie kwetsbaar wordt voor relay-aanvallen en de aanvaller de NTLM-hash van de Exchange-server kan verkrijgen ( wachtwoord voor Windows-computeraccount).
3. Microsoft Exchange-servers worden standaard geïnstalleerd met toegang tot veel bewerkingen met hoge bevoegdheden, wat betekent dat de aanvaller het nieuwe gecompromitteerde computeraccount van de Exchange-server kan gebruiken om beheerderstoegang te krijgen tot de domeincontroller van een bedrijf, waardoor ze naar believen meer backdoor-accounts kunnen maken.

De hack werkt op volledig gepatchte Windows-servers en er is momenteel geen patch beschikbaar. Er is echter een aantal mitigaties die hier te lezen zijn.

CERT crediteert de kwetsbaarheid voor Dirk-jan Mollema. Lees meer details over de aanval op: Dirk-jan's site hier.

Via zdnet.com