Masívna zraniteľnosť znamená, že stratené e-mailové heslo môže viesť k napadnutiu servera Microsoft Exchange Server, čo je ešte horšie

Bola zistená obrovská bezpečnostná diera, čo znamená, že väčšina serverov Microsoft Exchange Server 2013 a novších môže byť napadnutá, aby zločinci získali plné oprávnenia správcu radiča domény, čo im umožňuje vytvárať účty na cieľovom serveri a prichádzať a odchádzať podľa vlastného uváženia.

Na útok na PrivExchange stačí e-mailová adresa a heslo používateľa poštovej schránky a za určitých okolností ani to nie.

Hackeri sú schopní ohroziť server pomocou kombinácie 3 zraniteľností, ktorými sú:

1. Servery Microsoft Exchange majú funkciu s názvom Exchange Web Services (EWS), ktorú môžu útočníci zneužiť na overenie serverov Exchange na webovej lokalite kontrolovanej útočníkom pomocou počítačového účtu servera Exchange.
2. Táto autentifikácia sa vykonáva pomocou NTLM hash odosielaných cez HTTP a Exchange server tiež nedokáže nastaviť príznaky Sign a Seal pre operáciu NTLM, takže NTLM autentifikácia je zraniteľná voči prenosovým útokom a umožňuje útočníkovi získať NTLM hash servera Exchange ( heslo účtu počítača so systémom Windows).
3. Servery Microsoft Exchange sú štandardne nainštalované s prístupom k mnohým operáciám s vysokými privilégiami, čo znamená, že útočník môže použiť novo napadnutý počítačový účet servera Exchange na získanie správcovského prístupu k firemnému radiču domény, čo mu dáva možnosť ľubovoľne vytvárať ďalšie účty typu backdoor.

Hack funguje na plne opravených serveroch Windows a momentálne nie je k dispozícii žiadna oprava. Existuje však množstvo zmierňujúcich opatrení ktoré si môžete prečítať tu.

CERT pripisuje túto zraniteľnosť Dirk-janovi Mollemovi. Prečítajte si viac o útoku na Dirk-janova stránka tu.

Cez zdnet.com