Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Exchange Server über Sicherheitslücke (EWS API) angreifbar - PoC bekannt

Mitglied: kgborn

kgborn (Level 2) - Jetzt verbinden

28.01.2019, aktualisiert 12:34 Uhr, 886 Aufrufe, 3 Kommentare, 2 Danke

In allen Versionen des Microsoft Exchange Server gibt es eine Schwachstelle CVE-2018-8581, die Angreifer remote eine Escalation of Privileges ermöglicht. Gebraucht wird ein Exchange-Konto. Das ist lange bekannt und seit November 2018 dokumentiert - siehe Sicherheitslücke in Exchange Server 2010-2019. Im Artikel ist auch ein Registry-Eingriff erwähnt, um die Ausnutzbarkeit der Schwachstelle zu blocken, bis ein Patch vorliegt.

Eigentlich war ein Fix für Januar 2019 erwartet worden. Aber Microsoft hat nicht geliefert - es könnte was im Februar 2019 kommen. Seit 21. Januar 2019 ist aber ein Proof of Concept bekannt, wie sich über Kombination von Schwachstellen per EWS API ein Zugriff auf Active Directory-Administratorkonten per Exchange Server bzw. dessen Konten verschafft werden könnte. Exchange Admins, die den Registrierungswert DisableLoopbackCheck noch nicht angepasst haben, sollten reagieren.
Mitglied: kgborn
28.01.2019, aktualisiert um 23:04 Uhr
Jein - dein Link ist mir bekannt und es gibt in meinem ersten verlinkten Blog-Beitrag einen Verweis auf genau diesen Thread. Neu an der Geschichte ist, dass a) ein Proof of Concept für einen praktischen Angriff über EWS API bekannt ist und gezeigt wurde, dass ein Angreifer über ein Exchange Postfach sich bis zum AD-Admin auf dem betreffenden Server hochstufen kann.

Richtig ist: Wer allerdings die NTLM-Authentifizierung auf dem Netzwerk-Loopback-Adapter durch Löschen des DisableLoopbackCheck-Registry-Werts deaktiviert hat (wurde in dem von dir verlinkten Thread skizziert), ist (bis MS einen Patch bereitstellt) wohl auf der sicheren Seite.
Bitte warten ..
Mitglied: kgborn
29.01.2019, aktualisiert um 12:35 Uhr
Kleine Ergänzung: Das BSI warnt seit dem 28.1.2019 vor dieser Schwachstelle. Zudem habe ich bei heise im Newsticker noch eine Zusammenfassung veröffentlicht.

Sicherheitslücken in Microsoft Exchange gewähren Domain-Admin-Berechtigungen

Für Admins, die im Bereich Exchange Server und AD unterwegs sind, an dieser Stelle noch der Hinweis, die Server-Installation gegenüber solchen Rechteausweitungen zu härten. Ein Leser hat es in diesem Kommentar ganz gut zusammen gefasst und einige hilfreiche Links angegeben.

Vielleicht hilft es dem einen oder anderen Betroffenen - ich selbst habe da keine Aktien drin (bin nur der Schreiberling, der die Haue kriegt ).
Bitte warten ..
Ähnliche Inhalte
Erkennung und -Abwehr

Infineon TPMs unsicher! Bitlocker ggf. angreifbar

Information von LochkartenstanzerErkennung und -Abwehr5 Kommentare

Moin Wer TPMs nutzt, sollte schnellstens prüfen, ob er welche von Infineon hat. lks Nachtrag: Dort wo Bitlocker m ...

Router & Routing

Spionage und Krypto-Mining: MikroTik-Router angreifbar

Information von chiefteddyRouter & Routing

Hallo, für alle Freunde der MikroTik- Router: Jürgen

Verschlüsselung & Zertifikate

EFail Lücke war seit November bekannt - Veröffentlichung war unüberlegt

Information von certifiedit.netVerschlüsselung & Zertifikate8 Kommentare

Guten Morgen, da in den Diskussionen zu OpenSource und OpenSource naher Entwicklung gerne das Argument genannt wird, dass die ...

Batch & Shell

Powershell - Fahrdistanz(dauer) zwischen zwei Positionen berechnen (via Google Distance Matrix API)

Tipp von colinardoBatch & Shell2 Kommentare

Und hier kommt schon die nächste, für den ein oder anderen sicher nützliche Powershell-Funktion: Berechnung der Routen-Distanz zwischen zwei ...

Neue Wissensbeiträge
Windows 7

Windows 7 u. Server 2008 (R2) SHA-2-Update kommt am 12. März 2019

Information von kgborn vor 1 TagWindows 75 Kommentare

Kleine Info für die Admins der oben genannten Maschinen. Ab Juli 2019 werden Updates von Microsoft nur noch mit ...

Firewall
PfSense 2.5.0 benötigt doch kein AES-NI
Information von ChriBo vor 2 TagenFirewall2 Kommentare

Hallo, Wie sich einige hier erinnern werden hat Jim Thompson in diesem Aritkel beschrieben, daß ab Version 2.5.0 ein ...

Internet
Copyright-Reform: Upload-Filter
Information von Frank vor 4 TagenInternet1 Kommentar

Hallo, viele Menschen reden aktuell von Upload-Filtern. Sie reden darüber, als wären es eine Selbstverständlichkeit, das Upload-Filter den Seitenbetreibern ...

Google Android

Blokada: Tracking und Werbung unter Android unterbinden

Information von AnkhMorpork vor 4 TagenGoogle Android1 Kommentar

In Ergänzung zu meinem vorherigen Beitrag: Blokada efficiently blocks ads, tracking and malware. It saves your data plan, makes ...

Heiß diskutierte Inhalte
Hardware
IT-Werkzeugkoffer bis 50,- EUR
gelöst Frage von departure69Hardware42 Kommentare

Hallo. Ich bin als IT-Systembetreuer einer Gemeinde zusätzlich auch der IT-Systembetreuer einer Grund- und Hauptschule. Dort muß ich jedoch ...

Netzwerke
Verteilung von Programmdaten außerhalb des internen Netzwerkes
Frage von mertaufmbergNetzwerke24 Kommentare

Guten Morgen liebe Administratoren, ich versuche zurzeit eine möglichst sichere und einfache Lösung zu suchen, um ein Programmverzeichnis über ...

Netzwerkmanagement
Richtfunknetzwerk mit vielen Hops stabiler gestalten
Frage von turti83Netzwerkmanagement21 Kommentare

Hallo, in meinem Dorf habe ich vor ca. einem Jahr ein Backbone aufgebaut um die Nachbarschaft mit Internet zu ...

Hyper-V
Intel MSC Raid 5 Rebuild
Frage von DannysHyper-V19 Kommentare

Hallo Community, Ich habe einen Modul Server von Intel in Betrieb. Dort ist eine Festplatte aus dem Raid 5 ...