[English]In allen Microsoft Exchange-Server-Versionen gibt es ja eine "PrivExchange"-Schwachstelle. Nun hat Microsoft am 5. Februar 2019 die neue Sicherheitsempfehlung ADV190007 zu diesem Sachverhalt veröffentlicht.
Anzeige
Altes Thema, immer noch aktuell
Das ist ein Thema, welches ich hier im Blog bereits mehrfach angerissen habe. In allen Versionen des Exchange Server (2010 bis 2019) gibt es eine Schwachstelle, die eine Privilegienausweitung ermöglicht. Es geht um die Elevation of Privilege-Schwachstelle CVE-2018-8581 in Microsoft Exchange Server. Dazu muss der Angreifer ein Postfach auf dem Exchange-Server besitzen. Dann kann er sich durch einen Man-in-the-Middle-Angriff als anderer Nutzer ausgeben und so Administrator-Rechte verschaffen. Insgesamt bestehen folgende Schwachstellen, die diesen Angriff ermöglichen:
- Exchange Server haben bei Benutzerkonten standardmäßig zu hohe Privilegien
- Die NTLM-Authentifizierung ist anfällig für Relay-Angriffe
- Exchange besitzt eine Funktion, die es einem Angreifer ermöglicht, sich mit dem Computerkonto des Exchange-Servers zu authentifizieren.
Erste Hinweise gab es erstmals am 19. November 2018 im Blog-Beitrag Sicherheitslücke in Exchange Server 2010-2019. Dort wurde auch ein Registrierungseingriff beschrieben, mit dem die Ausnutzbarkeit der Schwachstelle verhindert werden kann.
Microsoft reagiert, nachdem Exploit bekannt wurde
Am 21. Januar 2019 hat Dirk-jan Mollema ein Proof-of-Concept (PoC) veröffentlicht, um sich per Benutzerkonto auf einem Exchange-Server zum AD-Administrator hochzustufen. Ich hatte dies im Blog-Beitrag AD und Exchange Server mittels EWS API angreifbar aufgegriffen. Ende Januar 2019 wies auch das BSI in einer Warnung auf diese Schwachstelle hin (siehe BSI warnt vor Exchange Server-Schwachstellen CVE-2018-8581/CVE-2018-8604).
Anzeige
Da es bisher von Microsoft keinen Patch gibt, hat das Unternehmen jetzt nach meiner Einschätzung mit dem Advisory ADV190007 | Guidance for "PrivExchange" Elevation of Privilege Vulnerability reagiert. Dort schreibt man:
An elevation of privilege vulnerability exists in Microsoft Exchange Server. An attacker who successfully exploited this vulnerability could attempt to impersonate any other user of the Exchange server. To exploit the vulnerability, an attacker would need to execute a man-in-the-middle attack to forward an authentication request to a Microsoft Exchange Server, thereby allowing impersonation of another Exchange user.
Das ist aber bereits aus den früheren Berichten bekannt. Neu ist, dass Microsoft Administratoren, die von einem hohen Risiko eines solchen Angriffs auf ihre Exchange-Server ausgehen, im Sicherheitshinweis einen anderen Workaround vorschlägt. Diese sollen die Throttling Policy EWSMaxSubscriptions mit einem Wert 0 über den folgenden PowerShell-Befehl definieren.
New-ThrottlingPolicy -Name AllUsersEWSSubscriptionBlockPolicy -EwsMaxSubscriptions 0 -ThrottlingPolicyScope Organization
Dies deaktiviert das Aussenden von EWS-Benachrichtigungen am Exchange-Server. Dadurch können die Man-in-the-middle-Angriffe nicht mehr ausgeführt werden. Der Pferdefuß: Anwendungen, die auf diese EWS-Notifications angewiesen sind (z.B. Outlook for Mac, Skype for Busines etc.) bekommen diese Benachrichtigungen nicht mehr und werden in der Funktionalität beeinträchtigt.
Microsoft arbeitet an einem Update, gibt aber kein Erscheinungsdatum an. Sobald das Update später verfügbar ist und installiert wurde, kann die Throttling Policy EWSMaxSubscriptions mit dem PowerShell-Befehl:
Remove-ThrottlingPolicy -Identity AllUsersEWSSubscriptionBlockPolicy
wieder zurückgenommen werden. Weitere Details sind ADV190007 zu entnehmen.
Ähnliche Artikel:
AD und Exchange Server mittels EWS API angreifbar
Sicherheitslücke in Exchange Server 2010-2019
BSI warnt vor Exchange Server-Schwachstellen CVE-2018-8581/CVE-2018-8604
Anzeige
Hmmm… im Advisory vom 03. Januar heisst es:
"A registry value DisableLoopbackCheck exists under the registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa. The vulnerability described by CVE-2018-8581 is unexploitable if the DisableLoopbackCheck registry value is removed."
vgl. CVE-2018-8581 | Microsoft Exchange Server Elevation of Privilege Vulnerability
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-8581
Jetzt heisst es Throttling Policy setzen und alle Mac/iOS User aussperren bzw. Umständlich Whitelisten pflegen. Was stimmt nun eigentlich? "Kopfkratz"
…beides.
Die Sicherheitsempfehlung ADV190007 ist zusätzlich für Administratoren…
"…die von einem hohen Risiko eines solchen Angriffs auf ihre Exchange-Server ausgehen…"
Somit eine Entscheidung des Admins, ob er auf Apple Mail Applikationen angewiesen ist…
Wobei für die LOB Applikationen die EWS Notifications benötigen habe ich noch kein Beispiel…
Kennt hier jemand konkrete Beispiele?