En enorm sårbarhet innebär att förlorat e-postlösenord kan leda till hackad Microsoft Exchange Server, ännu värre
2 min. läsa
Publicerad den
Dela den här artikeln
Förbättra den här guiden
Läs vår informationssida för att ta reda på hur du kan hjälpa MSPoweruser upprätthålla redaktionen Läs mer
Ett massivt säkerhetshål har hittats vilket innebär att de flesta Microsoft Exchange-servrar 2013 och senare kan hackas för att ge brottslingar fullständiga administratörsrättigheter för domänkontrollanter, vilket gör att de kan skapa konton på målservern och komma och gå efter behag.
Allt som behövs för PrivExchange-attacken är e-postadressen och lösenordet för en postlådeanvändare, och i vissa fall inte ens det.
Hackare kan äventyra servern med en kombination av tre sårbarheter, som är:
- Microsoft Exchange-servrar har en funktion som kallas Exchange Web Services (EWS) som angripare kan missbruka för att få Exchange-servrarna att autentisera på en angriparkontrollerad webbplats med Exchange-serverns datorkonto.
- Denna autentisering görs med NTLM-hashar som skickas via HTTP, och Exchange-servern misslyckas inte heller med att ställa in Sign- och Seal-flaggor för NTLM-operationen, vilket gör NTLM-autentiseringen sårbar för reläattacker och tillåter angriparen att erhålla Exchange-serverns NTLM-hash ( Windows datorkontolösenord).
- Microsoft Exchange-servrar är installerade som standard med åtkomst till många högprivilegierade operationer, vilket innebär att angriparen kan använda Exchange-serverns nyligen komprometterade datorkonto för att få administratörsåtkomst på ett företags domänkontrollant, vilket ger dem möjlighet att skapa fler bakdörrskonton efter behag.
Hacket fungerar på helt patchade Windows-servrar, och ingen patch är tillgänglig för närvarande. Det finns dock ett antal begränsningar som kan läsas här.
CERT tillskriver sårbarheten Dirk-jan Mollema. Läs mer om attacken på Dirk-jans sida här.
Via zdnet.com
