ช่องโหว่ขนาดใหญ่หมายถึงรหัสผ่านอีเมลที่สูญหายอาจทำให้ Microsoft Exchange Server ถูกแฮ็กได้ แย่กว่านั้น
2 นาที. อ่าน
เผยแพร่เมื่อ
แชร์บทความนี้
ปรับปรุงคู่มือนี้
อ่านหน้าการเปิดเผยข้อมูลของเราเพื่อดูว่าคุณจะช่วย MSPoweruser รักษาทีมบรรณาธิการได้อย่างไร อ่านเพิ่มเติม
พบช่องโหว่ด้านความปลอดภัยขนาดใหญ่ ซึ่งหมายความว่า Microsoft Exchange Servers 2013 ขึ้นไปส่วนใหญ่สามารถถูกแฮ็กเพื่อให้อาชญากรได้รับสิทธิ์ผู้ดูแลระบบ Domain Controller เต็มรูปแบบ ทำให้พวกเขาสามารถสร้างบัญชีบนเซิร์ฟเวอร์เป้าหมายและใช้งานได้ตามต้องการ
สิ่งที่จำเป็นสำหรับการโจมตี PrivExchange ก็คือที่อยู่อีเมลและรหัสผ่านของผู้ใช้เมลบ็อกซ์ และในบางกรณีก็ไม่มี
แฮกเกอร์สามารถประนีประนอมเซิร์ฟเวอร์โดยใช้ช่องโหว่ 3 แบบร่วมกัน ได้แก่:
- เซิร์ฟเวอร์ Microsoft Exchange มีคุณสมบัติที่เรียกว่า Exchange Web Services (EWS) ซึ่งผู้โจมตีสามารถใช้ในทางที่ผิดเพื่อให้เซิร์ฟเวอร์ Exchange ตรวจสอบสิทธิ์บนเว็บไซต์ที่ควบคุมโดยผู้โจมตีด้วยบัญชีคอมพิวเตอร์ของเซิร์ฟเวอร์ Exchange
- การตรวจสอบสิทธิ์นี้ดำเนินการโดยใช้แฮช NTLM ที่ส่งผ่าน HTTP และเซิร์ฟเวอร์ Exchange ยังไม่สามารถตั้งค่าสถานะ Sign and Seal สำหรับการดำเนินการ NTLM ได้ ทำให้การรับรองความถูกต้อง NTLM เสี่ยงต่อการส่งต่อการโจมตี และอนุญาตให้ผู้โจมตีได้รับแฮช NTLM ของเซิร์ฟเวอร์ Exchange ( รหัสผ่านบัญชีคอมพิวเตอร์ Windows)
- เซิร์ฟเวอร์ Microsoft Exchange ได้รับการติดตั้งโดยค่าเริ่มต้นพร้อมการเข้าถึงการดำเนินการที่มีสิทธิพิเศษสูงหลายอย่าง ซึ่งหมายความว่าผู้โจมตีสามารถใช้บัญชีคอมพิวเตอร์ที่เพิ่งถูกบุกรุกของเซิร์ฟเวอร์ Exchange เพื่อเข้าถึงผู้ดูแลระบบใน Domain Controller ของบริษัท ทำให้พวกเขาสามารถสร้างบัญชีลับๆ เพิ่มเติมได้ตามต้องการ
แฮ็คทำงานบนเซิร์ฟเวอร์ Windows ที่มีการแพตช์อย่างสมบูรณ์ และไม่มีแพตช์ให้บริการในขณะนี้ อย่างไรก็ตามมีการบรรเทาทุกข์หลายประการ ซึ่งสามารถอ่านได้ที่นี่.
CERT ให้เครดิตกับช่องโหว่ของ Dirk-jan Mollema อ่านรายละเอียดเพิ่มเติมเกี่ยวกับการโจมตีที่ เว็บไซต์ของ Dirk-jan ที่นี่
ผ่านทาง ZDNet.คอม
