Lỗ hổng lớn có nghĩa là mật khẩu email bị mất có thể dẫn đến máy chủ Microsoft Exchange bị tấn công, tệ hơn

Một lỗ hổng bảo mật lớn đã được phát hiện có nghĩa là hầu hết các Máy chủ Microsoft Exchange 2013 trở lên đều có thể bị tấn công để cấp cho bọn tội phạm các đặc quyền quản trị đầy đủ của Domain Controller, cho phép chúng tạo tài khoản trên máy chủ mục tiêu và đến và đi tùy ý.

Tất cả những gì cần thiết cho cuộc tấn công PrivExchange là địa chỉ email và mật khẩu của người dùng hộp thư, và trong một số trường hợp, thậm chí không phải như vậy.

Tin tặc có thể xâm nhập máy chủ bằng cách sử dụng kết hợp 3 lỗ hổng, đó là:

1. Máy chủ Microsoft Exchange có một tính năng gọi là Exchange Web Services (EWS) mà kẻ tấn công có thể lạm dụng để làm cho máy chủ Exchange xác thực trên trang web do kẻ tấn công kiểm soát bằng tài khoản máy tính của máy chủ Exchange.
2. Quá trình xác thực này được thực hiện bằng cách sử dụng hàm băm NTLM được gửi qua HTTP và máy chủ Exchange cũng không đặt được cờ Ký và Dấu cho hoạt động NTLM, khiến xác thực NTLM dễ bị tấn công chuyển tiếp và cho phép kẻ tấn công lấy được mã băm NTLM của máy chủ Exchange ( Mật khẩu tài khoản máy tính Windows).
3. Máy chủ Microsoft Exchange được cài đặt theo mặc định với quyền truy cập vào nhiều hoạt động đặc quyền cao, có nghĩa là kẻ tấn công có thể sử dụng tài khoản máy tính mới bị xâm nhập của máy chủ Exchange để giành quyền truy cập quản trị trên Bộ điều khiển miền của công ty, cho phép chúng tạo thêm tài khoản cửa hậu theo ý muốn.

Bản hack hoạt động trên các máy chủ Windows đã được vá đầy đủ và hiện không có bản vá nào. Tuy nhiên, có một số biện pháp giảm nhẹ có thể được đọc ở đây.

CERT ghi nhận lỗ hổng cho Dirk-jan Mollema. Đọc thêm chi tiết về cuộc tấn công tại Trang web của Dirk-jan ở đây.

Thông qua zdnet.com