Kleiner Nachtrag zu einem Thema, welches ich hier im Blog bereits mehrfach angerissen habe. In allen Versionen des Exchange Server (2010 bis 2019) gibt es eine Schwachstelle, die eine Privilegienausweitung ermöglicht.
Anzeige
Ich hatte erstmals am 19. November 2018 im Blog-Beitrag Sicherheitslücke in Exchange Server 2010-2019 darüber berichtet. Nachdem weitere Schwachstellen bekannt wurden, konnte ein Sicherheitsforscher ein Proof of Concept erstellen, welches einem Exchange-Konto eine Rechteausweitung auf die Active Directory Administratorkonten ermöglicht. Ich hatte das kurz im Blog-Beitrag AD und Exchange Server mittels EWS API angreifbar nachgetragen und den Artikel vom November 2018 ergänzt.
Zusammenfassender Beitrag bei heise
Da bisher kein Patch existiert und das Thema möglicherweise drängender wird, habe ich den Sachstand beim heise.de im Artikel Sicherheitslücken in Microsoft Exchange gewähren Domain-Admin-Berechtigungen in geschlossener Form (samt der Möglichkeit, den Angriffsvektor zu blockieren) nochmals aufgebreitet. Seit gestern (28. Januar 2019) warnt auch das Notfallteam des Bundesamt für Sicherheit in der Informationstechnik (BSI) vor dieser Schwachstelle (allerdings nur für Exchange Server 2013-2019) und stuft das Risiko als sehr hoch ein. Das BSI bezieht sich auf diesen Artikel bei The Register.
Grundproblem bei vielen Exchange-Installationen
Ich habe es bei heise.de (und in meinen Blog-Beiträgen) nicht explizit thematisiert und herausgearbeitet, da ich davon ausgehe, dass Exchange-Server-Administratoren sich in den verlinkten Quellen schlau machen. In den in meinen Artikeln verlinkten Originalbeiträgen, u.a von Dirk-Jan Mollema und auf GitHub, wird auf das Grundübel hingewiesen: In den meisten Unternehmen, die Active Directory und Exchange verwenden, haben Exchange-Server so hohe Berechtigungen, dass es ausreicht, Administrator auf einem Exchange-Server zu sein, um sich über die Schwachstellen zum Domain Admin hochzustufen.
Administratoren von Exchange Servern sollten daher Maßnahmen treffen, um die Installation zu härten, so dass ein Exchange Administrator keine Rechteausweitung auf ein Active Directory Administratorkonto erlangen kann. In diesem Kommentar weist ein Leser nochmals explizit auf diesen Sachverhalt hin und verlinkt weitere Dokumente zur Absicherung. So sollte zusätzlich LDAP Channel Binding erzwungen werden (siehe dieses Microsoft-Dokument). Das soll NTLM relay gegen LDAP verhindern. Ergänzung: Ein weiterer englischsprachiger Artikel zum Thema findet sich hier (bei Exchange Server 2010 scheint das PoC nicht zu funktionieren).
Anzeige
Ähnliche Artikel:
AD und Exchange Server mittels EWS API angreifbar
Sicherheitslücke in Exchange Server 2010-2019
Anzeige
