Velika ranljivost pomeni, da lahko izgubljeno geslo za e-pošto privede do vdora strežnika Microsoft Exchange Server, kar je še huje

Ugotovljena je bila velika varnostna luknja, kar pomeni, da je mogoče vdreti v večino strežnikov Microsoft Exchange Server 2013 in novejših, da se kriminalcem omogočijo polne skrbniške privilegije nadzornika domene, kar jim omogoča, da ustvarijo račune na ciljnem strežniku in pridejo in odidejo po želji.

Vse, kar potrebujete za napad PrivExchange, sta e-poštni naslov in geslo uporabnika poštnega predala, v nekaterih okoliščinah pa niti to.

Hekerji lahko ogrozijo strežnik s kombinacijo 3 ranljivosti, ki so:

1. Strežniki Microsoft Exchange imajo funkcijo, imenovano Exchange Web Services (EWS), ki jo lahko napadalci zlorabijo, da bi strežniki Exchange preverili pristnost na spletnem mestu, ki ga nadzoruje napadalec, z računalniškim računom strežnika Exchange.
2. To preverjanje pristnosti se izvede z uporabo zgoščenk NTLM, poslanih prek HTTP, strežnik Exchange pa tudi ne nastavi zastavice Sign in Seal za operacijo NTLM, zaradi česar je preverjanje pristnosti NTLM ranljivo za relejne napade in napadalcu omogoča pridobitev zgoščenke NTLM strežnika Exchange ( geslo za račun računalnika Windows).
3. Strežniki Microsoft Exchange so privzeto nameščeni z dostopom do številnih operacij z visokimi privilegiji, kar pomeni, da lahko napadalec uporabi na novo ogroženi računalniški račun strežnika Exchange za pridobitev skrbniškega dostopa na krmilniku domene podjetja, kar mu daje možnost, da po želji ustvari več računov za zakulisje.

Hack deluje na popolnoma popravljenih strežnikih Windows in trenutno ni na voljo noben popravek. Vendar pa obstajajo številne omilitve ki jih lahko preberete tukaj.

CERT pripisuje ranljivost Dirk-janu Mollemi. Več podrobnosti o napadu si preberite na Dirk-janovo spletno mesto tukaj.

Via zdnet.com