Ogromna luka w zabezpieczeniach oznacza, że ​​utrata hasła do poczty e-mail może prowadzić do zhakowania serwera Microsoft Exchange, co gorsza

Znaleziono ogromną lukę w zabezpieczeniach, co oznacza, że ​​większość serwerów Microsoft Exchange 2013 i nowszych może zostać zhakowana, aby dać przestępcom pełne uprawnienia administratora kontrolera domeny, umożliwiając im tworzenie kont na serwerze docelowym i przychodzenie i odchodzenie do woli.

Wszystko, co jest potrzebne do ataku na PrivExchange, to adres e-mail i hasło użytkownika skrzynki pocztowej, a w niektórych przypadkach nawet to.

Hakerzy są w stanie złamać serwer za pomocą kombinacji 3 luk, którymi są:

1. Serwery Microsoft Exchange mają funkcję o nazwie Exchange Web Services (EWS), której atakujący mogą nadużywać w celu uwierzytelniania serwerów Exchange w kontrolowanej przez atakującego witrynie internetowej przy użyciu konta komputera serwera Exchange.
2. Uwierzytelnianie to odbywa się za pomocą skrótów NTLM wysyłanych przez HTTP, a serwer Exchange również nie może ustawić flag Sign and Seal dla operacji NTLM, co naraża uwierzytelnianie NTLM na ataki typu relay i umożliwia atakującemu uzyskanie skrótu NTLM serwera Exchange ( hasło do konta komputera z systemem Windows).
3. Serwery Microsoft Exchange są instalowane domyślnie z dostępem do wielu operacji o wysokim poziomie uprawnień, co oznacza, że ​​osoba atakująca może użyć nowo zhakowanego konta komputera serwera Exchange, aby uzyskać dostęp administratora na kontrolerze domeny firmy, co daje mu możliwość tworzenia większej liczby kont backdoorów według własnego uznania.

Hakowanie działa na w pełni załatanych serwerach Windows i obecnie żadna poprawka nie jest dostępna. Istnieje jednak szereg środków łagodzących co można przeczytać tutaj.

CERT przypisuje tę lukę Dirk-jan Mollema. Przeczytaj więcej szczegółów na temat ataku na Strona Dirk-jana tutaj.

Przez zdnet.com