3
Exchange Server über Sicherheitslücke (EWS API) angreifbar - PoC bekannt
In allen Versionen des Microsoft Exchange Server gibt es eine Schwachstelle CVE-2018-8581, die Angreifer remote eine Escalation of Privileges ermöglicht. Gebraucht wird ein Exchange-Konto. Das ist lange bekannt und seit November 2018 dokumentiert - siehe Sicherheitslücke in Exchange Server 2010-2019. Im Artikel ist auch ein Registry-Eingriff erwähnt, um die Ausnutzbarkeit der Schwachstelle zu blocken, bis ein Patch vorliegt.
Eigentlich war ein Fix für Januar 2019 erwartet worden. Aber Microsoft hat nicht geliefert - es könnte was im Februar 2019 kommen. Seit 21. Januar 2019 ist aber ein Proof of Concept bekannt, wie sich über Kombination von Schwachstellen per EWS API ein Zugriff auf Active Directory-Administratorkonten per Exchange Server bzw. dessen Konten verschafft werden könnte. Exchange Admins, die den Registrierungswert DisableLoopbackCheck noch nicht angepasst haben, sollten reagieren.
Eigentlich war ein Fix für Januar 2019 erwartet worden. Aber Microsoft hat nicht geliefert - es könnte was im Februar 2019 kommen. Seit 21. Januar 2019 ist aber ein Proof of Concept bekannt, wie sich über Kombination von Schwachstellen per EWS API ein Zugriff auf Active Directory-Administratorkonten per Exchange Server bzw. dessen Konten verschafft werden könnte. Exchange Admins, die den Registrierungswert DisableLoopbackCheck noch nicht angepasst haben, sollten reagieren.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 399657
Url: https://administrator.de/contentid/399657
Printed on: April 19, 2024 at 20:04 o'clock
3 Comments
Latest comment
Jein - dein Link ist mir bekannt und es gibt in meinem ersten verlinkten Blog-Beitrag einen Verweis auf genau diesen Thread. Neu an der Geschichte ist, dass a) ein Proof of Concept für einen praktischen Angriff über EWS API bekannt ist und gezeigt wurde, dass ein Angreifer über ein Exchange Postfach sich bis zum AD-Admin auf dem betreffenden Server hochstufen kann.
Richtig ist: Wer allerdings die NTLM-Authentifizierung auf dem Netzwerk-Loopback-Adapter durch Löschen des DisableLoopbackCheck-Registry-Werts deaktiviert hat (wurde in dem von dir verlinkten Thread skizziert), ist (bis MS einen Patch bereitstellt) wohl auf der sicheren Seite.
Richtig ist: Wer allerdings die NTLM-Authentifizierung auf dem Netzwerk-Loopback-Adapter durch Löschen des DisableLoopbackCheck-Registry-Werts deaktiviert hat (wurde in dem von dir verlinkten Thread skizziert), ist (bis MS einen Patch bereitstellt) wohl auf der sicheren Seite.
2
Kleine Ergänzung: Das BSI warnt seit dem 28.1.2019 vor dieser Schwachstelle. Zudem habe ich bei heise im Newsticker noch eine Zusammenfassung veröffentlicht.
Sicherheitslücken in Microsoft Exchange gewähren Domain-Admin-Berechtigungen
Für Admins, die im Bereich Exchange Server und AD unterwegs sind, an dieser Stelle noch der Hinweis, die Server-Installation gegenüber solchen Rechteausweitungen zu härten. Ein Leser hat es in diesem Kommentar ganz gut zusammen gefasst und einige hilfreiche Links angegeben.
Vielleicht hilft es dem einen oder anderen Betroffenen - ich selbst habe da keine Aktien drin (bin nur der Schreiberling, der die Haue kriegt
).
Sicherheitslücken in Microsoft Exchange gewähren Domain-Admin-Berechtigungen
Für Admins, die im Bereich Exchange Server und AD unterwegs sind, an dieser Stelle noch der Hinweis, die Server-Installation gegenüber solchen Rechteausweitungen zu härten. Ein Leser hat es in diesem Kommentar ganz gut zusammen gefasst und einige hilfreiche Links angegeben.
Vielleicht hilft es dem einen oder anderen Betroffenen - ich selbst habe da keine Aktien drin (bin nur der Schreiberling, der die Haue kriegt
).
