{"id":211891,"date":"2018-11-19T14:36:24","date_gmt":"2018-11-19T13:36:24","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=211891"},"modified":"2019-01-28T20:14:25","modified_gmt":"2019-01-28T19:14:25","slug":"sicherheitslcke-in-exchange-server-2010-2019","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2018\/11\/19\/sicherheitslcke-in-exchange-server-2010-2019\/","title":{"rendered":"Sicherheitsl&uuml;cke in Exchange Server 2010-2019"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" height=\"47\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2018\/11\/20\/vulnerability-in-exchange-server-2010-2019\/\" target=\"_blank\" rel=\"noopener\">English<\/a>]In Exchange existiert von Version 2010 bis 2019 eine Sicherheitsl\u00fccke, die irgendwann durch ein Update behoben werden soll. Man kann die Schwachstelle aber per Registrierungseintrag deaktivieren \u2013 was aber Konsequenzen hat. <strong>Nachtrag Januar 2019:<\/strong> Jetzt ist ein\u00a00-day Exploit\u00a0ver\u00f6ffentlicht worden &#8211; einen Fix gibt es noch nicht.<\/p>\n<p><!--more--><\/p>\n<h2>Exchange-Schwachstelle CVE-2018-8581<\/h2>\n<p>Bei <a href=\"https:\/\/portal.msrc.microsoft.com\/en-US\/security-guidance\/advisory\/CVE-2018-8581\" target=\"_blank\" rel=\"noopener\">CVE-2018-8581<\/a>\u00a0handelt es sich um eine Elevation of Privilege-Schwachstelle in Microsoft Exchange Server. Dazu muss der Angreifer ein Postfach auf dem Exchange-Server besitzen. Dann kann er sich Administrator-Rechte verschaffen. Insgesamt bestehen folgende Schwachstellen, die diesen Angriff erm\u00f6glichen:<\/p>\n<ul>\n<li>Exchange Server haben bei Benutzerkonten standardm\u00e4\u00dfig zu hohe Privilegien<\/li>\n<li>Die NTLM-Authentifizierung ist anf\u00e4llig f\u00fcr\u00a0Relay-Angriffe<\/li>\n<li>Exchange besitzt eine Funktion, die es einem Angreifer erm\u00f6glicht, sich mit dem Computerkonto des Exchange-Servers zu authentifizieren.<\/li>\n<\/ul>\n<p>Ein Angreifer, der diese Schwachstelle(n) erfolgreich ausgenutzt hat, k\u00f6nnte versuchen, sich als ein anderer Benutzer des Exchange-Servers auszugeben. Um die Schwachstelle auszunutzen, m\u00fcsste ein Angreifer einen Man-in-the-Middle-Angriff ausf\u00fchren, um eine Authentifizierungsanforderung an einen Microsoft Exchange Server weiterzuleiten. Dann k\u00f6nnte er sich als ein anderer Exchange-Benutzers ausgeben und dann eine Hochstufung zum Administrator versuchen. Die Schwachstelle betrifft die Exchange-Versionen 2010 bis zur aktuellen Version 2019. Microsoft will irgendwann sp\u00e4ter diese Schwachstelle mit einem Update fixen.<\/p>\n<h2>Workaround zum Beheben von CVE-2018-8581<\/h2>\n<p>Als Workaround zum Beheben dieser Schwachstelle schl\u00e4gt Microsoft vor, die Loopback-Pr\u00fcfung abzuschalten. Daf\u00fcr muss der Registrierungschl\u00fcssel:<\/p>\n<p>HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Lsa<\/p>\n<p>im Registrierungseditor ge\u00f6ffnet und der Wert <em>DisableLoopbackCheck,<\/em> der eine Loopback-Pr\u00fcfung zul\u00e4sst, gel\u00f6scht werden.\u00a0Microsoft gibt <a href=\"https:\/\/portal.msrc.microsoft.com\/en-US\/security-guidance\/advisory\/CVE-2018-8581\" target=\"_blank\" rel=\"noopener\">hier die Details<\/a> an und schl\u00e4gt dazu den folgenden Befehl vor.<\/p>\n<p><em>reg delete HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Lsa \/v DisableLoopbackCheck \/f<\/em><\/p>\n<p>Bei administrator.de weist man <a href=\"https:\/\/www.administrator.de\/wissen\/exchange-2010-2019-sicherheitsl%C3%BCcke-regkey-l%C3%B6schen-schlie%C3%9Fen-392879.html\" target=\"_blank\" rel=\"noopener\">hier<\/a> darauf hin, dass dieser Loopback-Check in SharePoint gebraucht wird (siehe <a href=\"https:\/\/web.archive.org\/web\/20170626201523\/https:\/\/blogs.technet.microsoft.com\/sharepoint_foxhole\/2010\/06\/21\/disableloopbackcheck-lets-do-it-the-right-way\/\" target=\"_blank\" rel=\"noopener\">diesen Technet-Beitrag<\/a>).<\/p>\n<h2>Nachtrag vom 26.1.2019: 0-day Exploit ver\u00f6ffentlicht<\/h2>\n<p>Wir haben nun Ende Januar 2019, und Microsoft hat noch immer keinen Fix f\u00fcr diese Probleme bereitgestellt. Am 21. Januar 2019 hat\u00a0Dirk-jan Mollema den Beitrag\u00a0<a href=\"https:\/\/dirkjanm.io\/abusing-exchange-one-api-call-away-from-domain-admin\/\">Abusing Exchange: One API call away from Domain Admin<\/a>\u00a0ver\u00f6ffentlicht. Dort stellt er einen\u00a00-day Exploit zum Ausnutzen der Schwachstellen vor.\u00a0Mollema schreibt:<\/p>\n<blockquote><p>In den meisten Unternehmen, die Active Directory und Exchange verwenden, haben Exchange-Server so hohe Berechtigungen, dass es ausreicht, Administrator auf einem Exchange-Server zu sein. Dann kann man sich zum Domain Admin machen.<\/p><\/blockquote>\n<p>Mollema stie\u00df vor kurzem auf einen ZDI-<a href=\"https:\/\/www.thezdi.com\/blog\/2018\/12\/19\/an-insincere-form-of-flattery-impersonating-users-on-microsoft-exchange\" target=\"_blank\" rel=\"noopener\">Blog-Beitrag<\/a>, in dem eine M\u00f6glichkeit beschrieben wird, wie sich Exchange-Angreifer, die NTLM \u00fcber HTTP verwenden, \u00fcber eine zus\u00e4tzliche Schwachstelle authentifizieren k\u00f6nnen. Dies kann mit einem NTLM-Relay-Angriff kombiniert werden, um jedem Benutzer mit einem Exchange-Postfach zu erm\u00f6glichen sich zum Domain Admininstrator hochzustufen.<\/p>\n<p>Dann beschreibt Mollema im Blog-Beitrag einen Angriff, einige der technischen Details sowie Abhilfema\u00dfnahmen (in Form des obigen Registry-Eingriffs). Gleichzeitig hat er ein <a href=\"https:\/\/github.com\/dirkjanm\/privexchange\/\" target=\"_blank\" rel=\"noopener\">Proof-of-Concept-Tool<\/a> f\u00fcr diesen Angriff, das er \"PrivExchange\" genannt hat, ver\u00f6ffentlicht.\u00a0Da es von Microsoft nach wie vor keinen Patch gibt, lassen sich nur die oben beschriebenen Ma\u00dfnahmen durch Eingriff in den Registrierung zur Deaktivierung des\u00a0<em>DisableLoopbackCheck\u00a0<\/em>zur Absicherung des Exchange-Systems verwenden.<\/p>\n<p>Seit das Proof of Concept ver\u00f6ffentlicht wurde, geht diese Geschichte durchs Internet. Woody Leonhard weist <a href=\"https:\/\/www.askwoody.com\/2019\/microsoft-exchange-0day-exploit-code-published\/\" target=\"_blank\" rel=\"noopener\">hier<\/a> auf den Sachverhalt hin und \u00fcber <a href=\"https:\/\/www.heise.de\/forum\/heise-online\/News-Kommentare\/Microsoft-Office365-com-grossflaechig-gestoert\/active-directory-und-exchange-server-ueber-ews-api-angreifbar\/thread-5867168\/\" target=\"_blank\" rel=\"noopener\">diesen heise.de-Kommentar<\/a> zu einem meiner Artikel, bin ich auf den <a href=\"https:\/\/www.frankysweb.de\/active-directory-und-exchange-server-ueber-ews-api-angreifbar\/\" target=\"_blank\" rel=\"noopener\">aktuellen Blog-Beitrag<\/a> von Frankys Web gesto\u00dfen (der deutschsprachige Blog von Frank Z\u00f6chling ist \u00fcbrigens hier rechts in der Seitenleiste in der Blog-Roll verlinkt). Frank beschreibt die Schwachstelle und den Registrierungseingriff ebenfalls.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]In Exchange existiert von Version 2010 bis 2019 eine Sicherheitsl\u00fccke, die irgendwann durch ein Update behoben werden soll. Man kann die Schwachstelle aber per Registrierungseintrag deaktivieren \u2013 was aber Konsequenzen hat. Nachtrag Januar 2019: Jetzt ist ein\u00a00-day Exploit\u00a0ver\u00f6ffentlicht worden &#8211; &hellip; <a href=\"https:\/\/borncity.com\/blog\/2018\/11\/19\/sicherheitslcke-in-exchange-server-2010-2019\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[5359,4328],"class_list":["post-211891","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-exchange","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/211891","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=211891"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/211891\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=211891"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=211891"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=211891"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}