{"id":214114,"date":"2019-01-26T18:40:13","date_gmt":"2019-01-26T17:40:13","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=214114"},"modified":"2019-01-26T19:17:42","modified_gmt":"2019-01-26T18:17:42","slug":"ad-und-exchange-server-mittels-ews-api-angreifbar","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2019\/01\/26\/ad-und-exchange-server-mittels-ews-api-angreifbar\/","title":{"rendered":"AD und Exchange Server mittels EWS API angreifbar"},"content":{"rendered":"

Noch ein kurzer Infosplitter f\u00fcr Exchange Administratoren. Es gibt eine ungepatchte Schwachstelle (CVE-2018-8581) auf allen Exchange Server-Versionen, die sich durch Remote-Angreifer zur \u00dcbernahme der Maschine genutzt werden k\u00f6nnte.<\/p>\n

<\/p>\n

Am 21. Januar 2019 hat Dirk-jan Mollema ein Proof-of-Concept (PoC) ver\u00f6ffentlicht, um sich per Benutzerkonto auf einem Exchange-Server zum AD-Administrator hochzustufen. The Register hat das dann in diesem Artikel<\/a> aufgegriffen.<\/p>\n

Seitdem h\u00e4ufen sich die Berichte \u00fcber die mit CVE-2018-8581<\/a> gekennzeichnete Schwachstelle. Im Web wird dann angegeben, dass diese Schwachstelle seit Dezember 2018 bekannt sei.<\/p>\n

Als ich dann den Workaround \u00fcber die Deaktivierung des Registrierungswerts DisableLoopbackCheck<\/em> las, habe ich mal kurz hier im Blog gesucht. Dabei habe ich festgestellt, dass ich im bereits im November 2018 auf die ungepatchte Sicherheitsl\u00fccke auf allen Exchange Server-Versionen hingewiesen habe.<\/p>\n

Die Informationen finden sich im Blog-Beitrag Sicherheitsl\u00fccke in Exchange Server 2010-2019<\/a> vom 19. November 2018. Dort wird auch der Registrierungseingriff beschrieben. Ich habe in diesem Artikel die aktuellen Informationen vom Januar 2019 nachgetragen.<\/p>\n

PS: Es wird an einigen Stellen im Web gemutma\u00dft, dass der Ausfall der Office365.com-Dienste mit Exchange Online (siehe\u00a0Update zum Office365-Ausfall (Samstag, den 26.1.2019)<\/a>)\u00a0mit dem ver\u00f6ffentlichten Exploit zu tun habe. Ich denke, das sind zwei verschiedene Ursachen – denn andernfalls w\u00fcrde Microsoft den Admins unter seinen Kunden etwas vorschlagen, was man bei der eigenen Infrastruktur nicht nutzt (obwohl bei Exchange Online m\u00f6glicherweise die Angriffsfl\u00e4che gr\u00f6\u00dfer ist). Da mag ich nicht wirklich dran glauben.<\/p><\/blockquote>\n","protected":false},"excerpt":{"rendered":"

Noch ein kurzer Infosplitter f\u00fcr Exchange Administratoren. Es gibt eine ungepatchte Schwachstelle (CVE-2018-8581) auf allen Exchange Server-Versionen, die sich durch Remote-Angreifer zur \u00dcbernahme der Maschine genutzt werden k\u00f6nnte.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[5418,4328],"class_list":["post-214114","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-exchange-server","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/214114","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=214114"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/214114\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=214114"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=214114"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=214114"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}