Büyük güvenlik açığı, kayıp e-posta parolasının saldırıya uğramış Microsoft Exchange Server'a, daha da kötüsüne yol açabileceği anlamına gelir

Büyük bir güvenlik açığı bulundu; bu, 2013 ve üzeri çoğu Microsoft Exchange Sunucusunun, suçlulara tam Etki Alanı Denetleyicisi yönetici ayrıcalıkları vermek ve hedef sunucuda hesap oluşturmalarına ve istedikleri zaman gelip gitmelerine izin vermek için saldırıya uğrayabileceği anlamına geliyor.

PrivExchange saldırısı için gereken tek şey, bir posta kutusu kullanıcısının e-posta adresi ve parolasıdır ve bazı durumlarda o bile değildir.

Bilgisayar korsanları, aşağıdaki 3 güvenlik açığı kombinasyonunu kullanarak sunucunun güvenliğini tehlikeye atabilir:

1. Microsoft Exchange sunucuları, Exchange sunucularının, Exchange sunucusunun bilgisayar hesabıyla saldırgan tarafından kontrol edilen bir web sitesinde kimlik doğrulaması yapmak için saldırganların kötüye kullanabilecekleri Exchange Web Hizmetleri (EWS) adlı bir özelliğe sahiptir.
2. Bu kimlik doğrulama, HTTP aracılığıyla gönderilen NTLM karmaları kullanılarak yapılır ve Exchange sunucusu ayrıca NTLM işlemi için İmzala ve Mühürleme bayraklarını ayarlayamaz, NTLM kimlik doğrulamasını geçiş saldırılarına karşı savunmasız bırakır ve saldırganın Exchange sunucusunun NTLM karmasını almasına izin verir ( Windows bilgisayar hesabı parolası).
3. Microsoft Exchange sunucuları varsayılan olarak birçok yüksek ayrıcalık işlemine erişimle yüklenir; bu, saldırganın bir şirketin Etki Alanı Denetleyicisinde yönetici erişimi elde etmek için Exchange sunucusunun yeni güvenliği ihlal edilmiş bilgisayar hesabını kullanabileceği ve onlara istediği zaman daha fazla arka kapı hesabı oluşturma yeteneği verebileceği anlamına gelir.

Hack, tamamen yama uygulanmış Windows sunucularında çalışır ve şu anda herhangi bir yama mevcut değildir. Ancak bir dizi hafifletme var burada okunabilir.

CERT Güvenlik açığını Dirk-jan Mollema'ya borçlu. Saldırıyla ilgili daha fazla ayrıntıyı şu adresten okuyun: Dirk-jan'ın sitesi burada.

Üzerinden zdnet.com