Massiv sårbarhet betyr at tapt e-postpassord kan føre til hacket Microsoft Exchange Server, enda verre

Det er funnet et massivt sikkerhetshull som betyr at de fleste Microsoft Exchange-servere 2013 og nyere kan hackes for å gi kriminelle fulle domenekontroller-administratorrettigheter, slik at de kan opprette kontoer på målserveren og komme og gå etter eget ønske.

Alt som trengs for PrivExchange-angrepet er e-postadressen og passordet til en postboksbruker, og i noen tilfeller ikke engang det.

Hackere er i stand til å kompromittere serveren ved å bruke en kombinasjon av 3 sårbarheter, som er:

1. Microsoft Exchange-servere har en funksjon kalt Exchange Web Services (EWS) som angripere kan misbruke for å få Exchange-serverne til å autentisere på et angriperkontrollert nettsted med datakontoen til Exchange-serveren.
2. Denne autentiseringen gjøres ved å bruke NTLM-hasher sendt via HTTP, og Exchange-serveren klarer heller ikke å sette Sign- og Seal-flaggene for NTLM-operasjonen, noe som gjør NTLM-autentiseringen sårbar for videresendingsangrep, og lar angriperen få tak i Exchange-serverens NTLM-hash ( Windows-datamaskinkontopassord).
3. Microsoft Exchange-servere er installert som standard med tilgang til mange høyprivilegerte operasjoner, noe som betyr at angriperen kan bruke Exchange-serverens nylig kompromitterte datamaskinkonto for å få administratortilgang på et selskaps domenekontroller, noe som gir dem muligheten til å opprette flere bakdørskontoer etter eget ønske.

Hacket fungerer på fullt patchede Windows-servere, og ingen patch er tilgjengelig for øyeblikket. Det er imidlertid en rekke avbøtende tiltak som kan leses her.

CERT krediterer sårbarheten til Dirk-jan Mollema. Les mer om angrepet på Dirk-jans side her.

via zdnet.com