• IT-Karriere:
  • Services:

Microsoft Exchange: BSI warnt vor Sicherheitslücke mit Rechteausweitung

Im Microsoft Exchange Server steckt eine schwerwiegende Sicherheitslücke, die es Angreifern erlaubt, sich erweiterte Rechte zu erschleichen. Ein Patch steht noch aus. Es gibt aber Methoden zur Risikoreduzierung.

Artikel veröffentlicht am ,
Exchange hat eine kritische Sicherheitslücke (Symbolbild)
Exchange hat eine kritische Sicherheitslücke (Symbolbild) (Bild: Pixabay)

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt mit einer Kurzmitteilung vor einer gefährlichen Sicherheitslücke im Microsoft Exchange Server. Die Sicherheitslücke wird als Stufe 5 mit sehr hohem Risiko eingeschätzt. Der Grund für die hohe Klassifizierung ist dem Umstand geschuldet, dass Angreifer in die Lage versetzt werden, sich erweiterte Rechte auf einem Server zu verschaffen. Zudem ist auch schon ein Proof of Concept vorhanden, auf den The Register schon vor dem BSI aufmerksam machte. Angriffe werden damit umso wahrscheinlicher.

Stellenmarkt
  1. T e b i s Technische Informationssysteme AG, Martinsried bei München
  2. Deutsche Rentenversicherung Bund, Berlin

Der Proof of Concept von Dirk-Jan Mollema basiert auf mehreren Sicherheitslücken und Eigenschaften von Exchange-Konfigurationen, die per se nicht falsch sind, aber einen Angriff lohnenswert machen. Laut Mollema haben Exchange-Server in ihrer Standardkonfiguration weitreichende Systemrechte. So können oft Rechte als Domänenadministrator verwendet werden, wenn der Administrator erst einmal gekapert wurde. Zudem verwendete Mollema eine NTLM-Schwachstelle, um in Verbindung mit einer noch nicht geschlossenen Sicherheitslücke der Zero Day Initiative vom Dezember 2018 zum Erfolg zu kommen.

Interessanterweise gelang es Mollema zwar, Exchange 2013, 2016 und 2019 erfolgreich anzugreifen, doch der Server Exchange 2010 SP3 war gegen den Angriff immun. In seinem Artikel gibt Mollema auch Tipps, um die Auswirkungen eines Angriffes zu minimieren. Dazu gehört etwa, Exchange auf unnötig weitreichende Rechte zu überprüfen.

Es empfiehlt sich zudem, die Signatur von LDAP- und SMB-Kommunikation im Server zu aktivieren. Dies erschwert Relay-Angriffe auf die Infrastruktur. Ob und wann ein Patch kommt, ist bisher nicht bekannt. Eine Stellungnahme, die The Register angefragt hat, lässt aber die Interpretation zu, dass ein Patch schon zum nächsten Patchday erscheinen könnte.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. 39,99€
  2. 9,49€
  3. (-15%) 16,99€
  4. 15,00€

bike4energy 29. Jan 2019

kann mir das egal sein, oder? Oder besteht die Gefahr, dass mein Firmennetzwerk durch...

ase (Golem.de) 29. Jan 2019

Hallo, oh, ja. Ich hatte tatsächlich in den Lifecycle reingeschaut und mir notiert, dass...


Folgen Sie uns
       


Ausblendbare Kamera von Oneplus - Hands on (CES 2020)

Das Concept One ist das erste Konzept-Smartphone von Oneplus - und dient dazu, die ausblendbare Kamera zu demonstrieren.

Ausblendbare Kamera von Oneplus - Hands on (CES 2020) Video aufrufen
30 Jahre Champions of Krynn: Rückkehr ins Reich der Drachen und Drakonier
30 Jahre Champions of Krynn
Rückkehr ins Reich der Drachen und Drakonier

Champions of Krynn ist das dritte AD&D-Rollenspiel von SSI, es zählt zu den Highlights der Gold-Box-Serie. Passend zum 30. Geburtstag hat sich unser Autor den Klassiker noch einmal angeschaut - und nicht nur mit Drachen, sondern auch mit dem alten Kopierschutz gekämpft.
Ein Erfahrungsbericht von Benedikt Plass-Fleßenkämper

  1. Dungeons & Dragons Dark Alliance schickt Dunkelelf Drizzt nach Icewind Dale

Amazon, Netflix und Sky: Disney bringt 2020 den großen Umbruch beim Videostreaming
Amazon, Netflix und Sky
Disney bringt 2020 den großen Umbruch beim Videostreaming

In diesem Jahr wird sich der Video-Streaming-Markt in Deutschland stark verändern. Der Start von Disney+ setzt Netflix, Amazon und Sky gehörig unter Druck. Die ganz großen Umwälzungen geschehen vorerst aber woanders.
Eine Analyse von Ingo Pakalski

  1. Disney+ Deutsche wollen maximal 23 Euro für Streaming ausgeben
  2. Unterhaltung Plex startet kostenloses Streaming von Filmen und Serien
  3. Generalstaatsanwaltschaft Dresden Zwei mutmaßliche Betreiber von Movie2k.to verhaftet

IT-Gehälter: Je nach Branche bis zu 1.000 Euro mehr
IT-Gehälter
Je nach Branche bis zu 1.000 Euro mehr

Wechselt ein ITler in eine andere Branche, sind auf dem gleichen Posten bis zu 1.000 Euro pro Monat mehr drin. Welche Industrien die höchsten und welche die niedrigsten Gehälter zahlen: Wir haben die Antworten auf diese Fragen - auch darauf, wie sich die Einkommen 2020 entwickeln werden.
Von Peter Ilg

  1. Softwareentwickler Der Fachkräftemangel zeigt sich nicht an den Gehältern

    •  /