Масштабная уязвимость означает, что утерянный пароль электронной почты может привести к взлому Microsoft Exchange Server, что еще хуже
2 минута. читать
Опубликовано
Прочтите нашу страницу раскрытия информации, чтобы узнать, как вы можете помочь MSPoweruser поддержать редакционную команду. Читать далее
Обнаружена серьезная дыра в безопасности, которая означает, что большинство серверов Microsoft Exchange Server 2013 и более поздних версий могут быть взломаны, чтобы предоставить преступникам полные права администратора контроллера домена, позволяя им создавать учетные записи на целевом сервере и приходить и уходить по своему желанию.
Все, что необходимо для атаки PrivExchange, — это адрес электронной почты и пароль пользователя почтового ящика, а в некоторых случаях и того нет.
Хакеры могут скомпрометировать сервер, используя комбинацию из 3 уязвимостей, а именно:
- Серверы Microsoft Exchange имеют функцию, называемую веб-службами Exchange (EWS), которой злоумышленники могут злоупотреблять, чтобы серверы Exchange аутентифицировались на веб-сайте, контролируемом злоумышленниками, с учетной записью компьютера сервера Exchange.
- Эта аутентификация выполняется с использованием хэшей NTLM, отправляемых через HTTP, и серверу Exchange также не удается установить флаги Sign и Seal для операции NTLM, что делает аутентификацию NTLM уязвимой для ретрансляционных атак и позволяет злоумышленнику получить хэш NTLM сервера Exchange ( пароль учетной записи компьютера Windows).
- Серверы Microsoft Exchange устанавливаются по умолчанию с доступом ко многим операциям с высоким уровнем привилегий, что означает, что злоумышленник может использовать недавно скомпрометированную учетную запись компьютера сервера Exchange, чтобы получить доступ администратора к контроллеру домена компании, что дает ему возможность создавать дополнительные учетные записи бэкдора по своему желанию.
Взлом работает на полностью исправленных серверах Windows, и в настоящее время патч не доступен. Однако есть ряд послаблений который можно прочитать здесь.
CERT приписывает уязвимость Дирк-джану Моллеме. Подробнее об атаке читайте на Сайт Дирк-джана здесь.
С помощью zdnet.com