W zabezpieczeniach Microsoft Exchange Server od wersji 2013 wzwyż wykryto potężną lukę, a to oznacza, że serwery poczty są narażone na ataki. Podatność daje hakerom pełne uprawnienia administratora, co właściwie należy rozumieć jako pełnię możliwości. Exchange Server jest serwerową wersją poczty dla tych, którzy nie przenoszą się do chmury i nie korzystają z Exchange w ramach Office 365.
Wszystko, czego potrzeba do ataku PrivExchange, to adres e-mail i hasło użytkownika, ale w niektórych przypadkach nawet to nie będzie potrzebne. Hakerzy mogą włamać się na serwer, łącząc trzy podatności:
- Microsoft Exchange Server ma funkcję o nazwie Exchange Web Services (EWS), którą można wykorzystać, aby serwer dokonywał uwierzytelniania na witrynie kontrolowanej przez atakującego.
- Uwierzytelnianie wykonywane jest przy użyciu hashów NTLM wysyłanych za pośrednictwem HTTP, a serwer Exchange nie może ustawić flag Sign i Seal dla operacji NTLM, przez co uwierzytelnianie NTLM pozostaje podatne na ataki, a atakujący uzyskuje hash NTLM serwera Exchange (hasło do konta na komputerze z Windows).
- Microsoft Exchange Server instaluje się domyślnie z dostępem do wielu operacji wymagających wysokich uprawnień, co oznacza, że atakujący może użyć świeżo przejętego konta w komputerze, by uzyskać dostępu administratora do kontrolera domeny firmy, co daje mu możliwość tworzenia kolejnych kont jako backdoory.
Podatność występuje nawet na całkowicie załatanych Windows Serverach, a łatka jeszcze nie powstała. Odkrywcą luki jest niejaki Dirk-jan Mollema. Szczegóły na ten temat można znaleźć na jego stronie.