Read the full article on Version2 here.
»Trods patching vrimler det med bagdøre hos danske virksomheder, der er berørt af Exchange-angrebet.
Mens danske virksomheder i skrivende stund kæmper for at finde ud af, om de er ramt af de fire nye Exchange-sårbarheder, og hvad det præcis betyder for dem, at deres systemer har været blottede i månedsvis, venter it-sikkerhedsvirksomheden Dubex på at den første kunde rammes af sårbarheden for alvor.
<…>
Exchange giver bred adgang
Også fra konkurrenten Improsec lyder det, at man er i fuld gang med at gennemtrawle kundernes systemer.
»Der er ikke noget, der tyder på, at danske virksomheder er sluppet i denne omgang,« siger Magnus Stubman, der arbejder med penetrationstest af Improsecs kunder. Som angriber og white hat ser han masser potentiale i sårbarhederne.
»Sårbarheden er helt klart i den nemme ende at udnytte, og det er den, fordi der er offentlige exploits, der er klar eller næsten klar til at udnytte sikkerhedshullet med. Selve det at finde Exchange-serverne er også ret straight forward, så vil man bare hacke nogen, og er man ligeglad med hvem, er det nemt,« lyder det fra den unge hacker.
»Exchange er godt at kompromittere et domæne gennem, fordi det er nemt at blive admin gennem Exchange. Og er man først admin på domænet, kan man overvåge andre admins på domænet gennem domæne-jointsystemet med for eksempel keyloggere. I så fald har man pludselig meget bred adgang til en virksomheds infrastruktur.«
<…>
Kan føre til skjult gennem-kompromittering
Magnus Stubman fortæller, at han ikke ville nøjes med én bagdør, hvis han skulle bruge sårbarheden til at hacke en kunde.
»Først og fremmest ville jeg som angriber sikre mig, at andre ikke kunne komme ind efter mig. For eksempel sætte nogle filtre op eller sørge for at skrivebeskytte en fil, når man selv har kompromitteret den,« siger Magnus Stubman og fortsætter:
»Herefter ville jeg begynde at kompromittere domænet gennem Exchange, blive admin på det og sørge for, at jeg kan komme ind igen ad andre veje end det oprindelige. Lægge små stykker malware derinde, der kan ringe hjem til mig, når der generelt er travlt på serveren med tilpas store mellemrum til, at det er svært at opdage.«