Велика вразливість означає, що втрачений пароль електронної пошти може призвести до зламаного сервера Microsoft Exchange, що ще гірше
2 хв. читати
Опубліковано
Прочитайте нашу сторінку розкриття інформації, щоб дізнатися, як ви можете допомогти MSPoweruser підтримувати редакційну команду Читати далі
Була виявлена величезна діра в безпеці, що означає, що більшість серверів Microsoft Exchange 2013 і вище можна зламати, щоб надати злочинцям повні права адміністратора контролера домену, дозволяючи їм створювати облікові записи на цільовому сервері та приходити та йти за бажанням.
Все, що потрібно для атаки PrivExchange, це адреса електронної пошти та пароль користувача поштової скриньки, а в деяких випадках навіть не це.
Хакери можуть зламати сервер, використовуючи комбінацію з 3 уразливостей, а саме:
- Сервери Microsoft Exchange мають функцію під назвою Exchange Web Services (EWS), якою зловмисники можуть зловживати, щоб змусити сервери Exchange автентифікуватися на веб-сайті, який контролюється зловмисниками, за допомогою облікового запису комп’ютера сервера Exchange.
- Ця аутентифікація виконується з використанням хешів NTLM, надісланих через HTTP, і сервер Exchange також не може встановити прапори Sign and Seal для операції NTLM, залишаючи автентифікацію NTLM вразливою для ретрансляційних атак і дозволяючи зловмиснику отримати хеш NTLM сервера Exchange ( пароль облікового запису комп'ютера Windows).
- Сервери Microsoft Exchange встановлюються за замовчуванням з доступом до багатьох операцій з високими привілеями, що означає, що зловмисник може використовувати нещодавно зламаний обліковий запис комп’ютера сервера Exchange, щоб отримати доступ адміністратора на контролері домену компанії, що дає їм можливість створювати більше бекдорних облікових записів за бажанням.
Хак працює на повністю виправлених серверах Windows, і наразі виправлення недоступне. Однак існує ряд пом’якшень яку можна прочитати тут.
CERT приписує вразливість Дірк-яну Моллемі. Детальніше про напад читайте за посиланням Сайт Дірка-яна тут.
через zdnet.com