Масштабная уязвимость означает, что утерянный пароль электронной почты может привести к взлому Microsoft Exchange Server, что еще хуже

Обнаружена серьезная дыра в безопасности, которая означает, что большинство серверов Microsoft Exchange Server 2013 и более поздних версий могут быть взломаны, чтобы предоставить преступникам полные права администратора контроллера домена, позволяя им создавать учетные записи на целевом сервере и приходить и уходить по своему желанию.

Все, что необходимо для атаки PrivExchange, — это адрес электронной почты и пароль пользователя почтового ящика, а в некоторых случаях и того нет.

Хакеры могут скомпрометировать сервер, используя комбинацию из 3 уязвимостей, а именно:

1. Серверы Microsoft Exchange имеют функцию, называемую веб-службами Exchange (EWS), которой злоумышленники могут злоупотреблять, чтобы серверы Exchange аутентифицировались на веб-сайте, контролируемом злоумышленниками, с учетной записью компьютера сервера Exchange.
2. Эта аутентификация выполняется с использованием хэшей NTLM, отправляемых через HTTP, и серверу Exchange также не удается установить флаги Sign и Seal для операции NTLM, что делает аутентификацию NTLM уязвимой для ретрансляционных атак и позволяет злоумышленнику получить хэш NTLM сервера Exchange ( пароль учетной записи компьютера Windows).
3. Серверы Microsoft Exchange устанавливаются по умолчанию с доступом ко многим операциям с высоким уровнем привилегий, что означает, что злоумышленник может использовать недавно скомпрометированную учетную запись компьютера сервера Exchange, чтобы получить доступ администратора к контроллеру домена компании, что дает ему возможность создавать дополнительные учетные записи бэкдора по своему желанию.

Взлом работает на полностью исправленных серверах Windows, и в настоящее время патч не доступен. Однако есть ряд послаблений который можно прочитать здесь.

CERT приписывает уязвимость Дирк-джану Моллеме. Подробнее об атаке читайте на Сайт Дирк-джана здесь.

С помощью zdnet.com