Original-URL des Artikels: https://www.golem.de/news/microsoft-exchange-bsi-warnt-vor-sicherheitsluecke-mit-rechteausweitung-1901-139042.html    Veröffentlicht: 29.01.2019 13:36    Kurz-URL: https://glm.io/139042

Microsoft Exchange

BSI warnt vor Sicherheitslücke mit Rechteausweitung

Im Microsoft Exchange Server steckt eine schwerwiegende Sicherheitslücke, die es Angreifern erlaubt, sich erweiterte Rechte zu erschleichen. Ein Patch steht noch aus. Es gibt aber Methoden zur Risikoreduzierung.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt mit einer Kurzmitteilung vor einer gefährlichen Sicherheitslücke im Microsoft Exchange Server. Die Sicherheitslücke wird als Stufe 5 mit sehr hohem Risiko eingeschätzt. Der Grund für die hohe Klassifizierung ist dem Umstand geschuldet, dass Angreifer in die Lage versetzt werden, sich erweiterte Rechte auf einem Server zu verschaffen. Zudem ist auch schon ein Proof of Concept vorhanden, auf den The Register schon vor dem BSI aufmerksam machte. Angriffe werden damit umso wahrscheinlicher.

Der Proof of Concept von Dirk-Jan Mollema basiert auf mehreren Sicherheitslücken und Eigenschaften von Exchange-Konfigurationen, die per se nicht falsch sind, aber einen Angriff lohnenswert machen. Laut Mollema haben Exchange-Server in ihrer Standardkonfiguration weitreichende Systemrechte. So können oft Rechte als Domänenadministrator verwendet werden, wenn der Administrator erst einmal gekapert wurde. Zudem verwendete Mollema eine NTLM-Schwachstelle, um in Verbindung mit einer noch nicht geschlossenen Sicherheitslücke der Zero Day Initiative vom Dezember 2018 zum Erfolg zu kommen.

Interessanterweise gelang es Mollema zwar, Exchange 2013, 2016 und 2019 erfolgreich anzugreifen, doch der Server Exchange 2010 SP3 war gegen den Angriff immun. In seinem Artikel gibt Mollema auch Tipps, um die Auswirkungen eines Angriffes zu minimieren. Dazu gehört etwa, Exchange auf unnötig weitreichende Rechte zu überprüfen.

Es empfiehlt sich zudem, die Signatur von LDAP- und SMB-Kommunikation im Server zu aktivieren. Dies erschwert Relay-Angriffe auf die Infrastruktur. Ob und wann ein Patch kommt, ist bisher nicht bekannt. Eine Stellungnahme, die The Register angefragt hat, lässt aber die Interpretation zu, dass ein Patch schon zum nächsten Patchday erscheinen könnte.  (ase)


Verwandte Artikel:
Januar-2019-Update: Microsoft schließt kritische Exchange- und DHCP-Lücke   
(09.01.2019, https://glm.io/138606 )
Windows Media Center: Keine Updates von Metadaten für Windows 7 und 8 mehr   
(28.01.2019, https://glm.io/139005 )
Niedersachsen: Technische Panne schluckt Datenschutzbeschwerden   
(29.01.2019, https://glm.io/139032 )
Datenleak: Politiker fordern Pflicht für Zwei-Faktor-Authentifizierung   
(07.01.2019, https://glm.io/138542 )
Datenbank: Lange bekannte MySQL-Lücke führt zu Angriffen   
(27.01.2019, https://glm.io/138999 )

© 1997–2020 Golem.de, https://www.golem.de/