Vulnerabilidade maciça significa que a perda de senha de e-mail pode levar ao Microsoft Exchange Server invadido, pior ainda

Uma enorme falha de segurança foi encontrada, o que significa que a maioria dos Microsoft Exchange Servers 2013 e superiores podem ser hackeados para dar aos criminosos privilégios de administrador de controlador de domínio completos, permitindo que eles criem contas no servidor de destino e entrem e saiam à vontade.

Tudo o que é necessário para o ataque PrivExchange é o endereço de e-mail e a senha de um usuário de caixa de correio e, em algumas circunstâncias, nem isso.

Os hackers são capazes de comprometer o servidor usando uma combinação de 3 vulnerabilidades, que são:

1. Os servidores Microsoft Exchange têm um recurso chamado Exchange Web Services (EWS) que os invasores podem abusar para fazer com que os servidores Exchange sejam autenticados em um site controlado pelo invasor com a conta de computador do servidor Exchange.
2. Essa autenticação é feita usando hashes NTLM enviados via HTTP, e o servidor Exchange também falha ao definir os sinalizadores Sign and Seal para a operação NTLM, deixando a autenticação NTLM vulnerável a ataques de retransmissão e permitindo que o invasor obtenha o hash NTLM do servidor Exchange ( senha da conta do computador Windows).
3. Os servidores Microsoft Exchange são instalados por padrão com acesso a muitas operações de alto privilégio, o que significa que o invasor pode usar a conta de computador recém-comprometida do servidor Exchange para obter acesso de administrador no controlador de domínio de uma empresa, dando-lhes a capacidade de criar mais contas backdoor à vontade.

O hack funciona em servidores Windows totalmente corrigidos e nenhum patch está disponível no momento. No entanto, há uma série de mitigações que pode ser lido aqui.

CERT credita a vulnerabilidade a Dirk-jan Mollema. Leia mais detalhes sobre o ataque em O site de Dirk-jan aqui.

Através da zdnet.com