Alat za provjeru koncepta omogućuje napadačima da eskaliraju hakirani inbox administratoru na internom kontroleru domene tvrtke.
Sigurnost
- 8 navika iznimno sigurnih radnika na daljinu
- Kako pronaći i ukloniti špijunski softver s telefona
- Najbolje VPN usluge: Kako se uspoređuju prvih 5?
- Kako saznati jeste li uključeni u povredu podataka -- i što učiniti sljedeće
Microsoft Exchange 2013 i noviji su ranjivi na zero-day pod nazivom "PrivExchange" koji omogućuje udaljenom napadaču s samo vjerodajnice jednog skromnog korisnika poštanskog sandučića sustava Exchange za dobivanje administratorskih povlastica kontrolera domene uz pomoć a jednostavan Python alat.
Također: Što je sljedeće na Microsoftovom hardverskom planu
pojedinosti o ovom nultom danu prošli je tjedan javno objavio Dirk-jan Mollema, sigurnosni istraživač iz nizozemske tvrtke za kibernetičku sigurnost Fox-IT.
Prema istraživaču, zero-day nije samo jedan nedostatak, već kombinacija triju (zadanih) postavki i mehanizmi koje napadač može zloupotrijebiti kako bi eskalirao svoj pristup s hakiranog računa e-pošte administratoru tvrtke unutarnje
kontroler domene (poslužitelj koji obrađuje zahtjeve za sigurnosnu provjeru autentičnosti unutar Windows domene). Tri pitanja, prema Mollemi, su:- Microsoft Exchange poslužitelji imaju značajku pod nazivom Exchange Web Services (EWS) koju napadači mogu zloupotrijebiti Exchange poslužitelji autentificiraju se na web stranici koju kontrolira napadač s računom računala Exchange poslužitelj.
- Ova se provjera autentičnosti provodi pomoću NTLM hashova koji se šalju putem HTTP-a, a Exchange poslužitelj također ne uspijeva postaviti zastavice Sign i Seal za NTLM operaciju, ostavljajući NTLM autentifikaciju ranjivom na relejne napade i dopuštajući napadaču da dobije NTLM hash poslužitelja Exchange (računalni račun Windows lozinka).
- Microsoft Exchange poslužitelji instalirani su prema zadanim postavkama s pristupom mnogim operacijama s visokim povlasticama, što znači da napadač može koristiti Exchange poslužitelj novokompromitirani račun računala za dobivanje administratorskog pristupa na kontroleru domene tvrtke, dajući im mogućnost stvaranja više backdoor računa na htjeti.
Potvrđeno je da napad PrivExchange radi na Exchange i Windows Server DC-ovima (kontrolerima domene) koji rade s potpuno zakrpanim verzijama.
Microsoft nije izdao hitne zakrpe za ranjivost PrivExchange. Međutim, Mollema je uključio nekoliko ublažavanja u svom blogu koje administratori sustava mogu implementirati kako bi spriječili napadače da iskoriste ovaj zero-day i dobiju kontrolu nad infrastrukturom poslužitelja svojih tvrtki.
Obavezno pročitati
-
Ovo nije Microsoft tvog oca (CNET)
-
Kako je Python postao velik u Microsoftu (TechRepublic)
ovaj članak od CERT/CC tima sa Sveučilišta Carnegie Mellon također detaljno opisuje ista ublažavanja.
Ranjivost PrivExchangea ne treba shvatiti olako. Lako ga je izvesti zahvaljujući dostupnosti gotovog alata za dokaz koncepta, ali i zato što napadačima daje potpunu kontrolu nad Windows IT infrastrukturom tvrtke, Svetim gralom većine hakera skupine.
Mnogi od najopasnijih sigurnosnih propusta u Androidu i iOS-u u 2018. još uvijek prijete sigurnosti vašeg mobilnog uređaja
Povezane priče:
-
Microsoftove usluge u oblaku bilježe prekid globalne provjere autentičnosti
-
Shvaćanje Microsoftova pristupa umjetnoj inteligenciji
-
Momak iz Microsofta: Mozilla bi trebala odustati od Firefoxa
Više sigurnosne zaštite:
- LocalBitcoins krivi za kršenje sigurnosti na forumu 'softver treće strane'
- WordPress stranice napadnute putem zero-day u napuštenom dodatku
- Izražena je zabrinutost zbog WordPressove nove zaštitne značajke 'White Screen Of Death'
-
Kampanja zlonamjernog oglašavanja cilja korisnike Applea zlonamjernim kodom skrivenim u slikama
- Hakeri napadaju Cisco RV320/RV325 usmjerivače koristeći novi exploit
- Internetski eksperiment pođe po zlu, sruši hrpu Linux usmjerivača
-
Brave preglednik sada može prikazivati oglase, a uskoro ćete dobiti 70% novcaCNET
- Zašto će kriptojacking postati još veći problem u 2019 TechRepublic