{"id":214622,"date":"2019-02-07T06:47:25","date_gmt":"2019-02-07T05:47:25","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=214622"},"modified":"2022-01-17T01:28:38","modified_gmt":"2022-01-17T00:28:38","slug":"sicherheitsempfehlung-adv190007-fr-exchange-server","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2019\/02\/07\/sicherheitsempfehlung-adv190007-fr-exchange-server\/","title":{"rendered":"Sicherheitsempfehlung ADV190007 f&uuml;r Exchange-Server"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" align=\"left\" height=\"47\"\/>[<a href=\"https:\/\/borncity.com\/win\/2019\/02\/07\/microsoft-security-advisory-adv190007-for-exchange-server\/\" target=\"_blank\" rel=\"noopener\">English<\/a>]In allen Microsoft Exchange-Server-Versionen gibt es ja eine \"PrivExchange\"-Schwachstelle. Nun hat Microsoft am 5. Februar 2019 die neue Sicherheitsempfehlung ADV190007 zu diesem Sachverhalt ver\u00f6ffentlicht. <\/p>\n<p><!--more--><\/p>\n<h2>Altes Thema, immer noch aktuell<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" alt=\"\" src=\"https:\/\/vg01.met.vgwort.de\/na\/2b35157bff1c4eb89d34c9f4879c8997\" width=\"1\" height=\"1\"\/>Das ist ein Thema, welches ich hier im Blog bereits mehrfach angerissen habe. In allen Versionen des Exchange Server (2010 bis 2019) gibt es eine Schwachstelle, die eine Privilegienausweitung erm\u00f6glicht. Es geht um die Elevation of Privilege-Schwachstelle <a href=\"https:\/\/portal.msrc.microsoft.com\/en-US\/security-guidance\/advisory\/CVE-2018-8581\" target=\"_blank\" rel=\"noopener\">CVE-2018-8581<\/a> in Microsoft Exchange Server. Dazu muss der Angreifer ein Postfach auf dem Exchange-Server besitzen. Dann kann er sich durch einen Man-in-the-Middle-Angriff als anderer Nutzer ausgeben und so Administrator-Rechte verschaffen. Insgesamt bestehen folgende Schwachstellen, die diesen Angriff erm\u00f6glichen:<\/p>\n<ul>\n<li>Exchange Server haben bei Benutzerkonten standardm\u00e4\u00dfig zu hohe Privilegien  <\/li>\n<li>Die NTLM-Authentifizierung ist anf\u00e4llig f\u00fcr Relay-Angriffe  <\/li>\n<li>Exchange besitzt eine Funktion, die es einem Angreifer erm\u00f6glicht, sich mit dem Computerkonto des Exchange-Servers zu authentifizieren.<\/li>\n<\/ul>\n<p>Erste Hinweise gab es erstmals am 19. November 2018 im Blog-Beitrag <a href=\"https:\/\/borncity.com\/blog\/2018\/11\/19\/sicherheitslcke-in-exchange-server-2010-2019\/\">Sicherheitsl\u00fccke in Exchange Server 2010-2019<\/a>. Dort wurde auch ein Registrierungseingriff beschrieben, mit dem die Ausnutzbarkeit der Schwachstelle verhindert werden kann.  <\/p>\n<h2>Microsoft reagiert, nachdem Exploit bekannt wurde<\/h2>\n<\/p>\n<p>Am 21. Januar 2019 hat Dirk-jan Mollema ein Proof-of-Concept (PoC) ver\u00f6ffentlicht, um sich per Benutzerkonto auf einem Exchange-Server zum AD-Administrator hochzustufen. Ich hatte dies im Blog-Beitrag <a href=\"https:\/\/borncity.com\/blog\/2019\/01\/26\/ad-und-exchange-server-mittels-ews-api-angreifbar\/\">AD und Exchange Server mittels EWS API angreifbar<\/a> aufgegriffen. Ende Januar 2019 wies auch das BSI in einer Warnung auf diese Schwachstelle hin (siehe <a href=\"https:\/\/borncity.com\/blog\/2019\/01\/29\/bsi-warnt-vor-exchange-server-schwachstellen-cve-2018-8581-cve-2018-8604\/\">BSI warnt vor Exchange Server-Schwachstellen CVE-2018-8581\/CVE-2018-8604<\/a>).<\/p>\n<p>Da es bisher von Microsoft keinen Patch gibt, hat das Unternehmen jetzt nach meiner Einsch\u00e4tzung mit dem Advisory <a href=\"https:\/\/msrc.microsoft.com\/update-guide\/en-US\/vulnerability\/ADV170007\" target=\"_blank\" rel=\"noopener\">ADV190007 | Guidance for \"PrivExchange\" Elevation of Privilege Vulnerability<\/a> reagiert. Dort schreibt man:<\/p>\n<blockquote>\n<p>An elevation of privilege vulnerability exists in Microsoft Exchange Server. An attacker who successfully exploited this vulnerability could attempt to impersonate any other user of the Exchange server. To exploit the vulnerability, an attacker would need to execute a man-in-the-middle attack to forward an authentication request to a Microsoft Exchange Server, thereby allowing impersonation of another Exchange user.<\/p>\n<\/blockquote>\n<p>Das ist aber bereits aus den fr\u00fcheren Berichten bekannt. Neu ist, dass Microsoft Administratoren, die von einem hohen Risiko eines solchen Angriffs auf ihre Exchange-Server ausgehen, im Sicherheitshinweis einen anderen Workaround vorschl\u00e4gt. Diese sollen die Throttling Policy <em>EWSMaxSubscriptions <\/em>mit einem Wert 0 \u00fcber den folgenden PowerShell-Befehl definieren.<\/p>\n<p><em>New-ThrottlingPolicy -Name AllUsersEWSSubscriptionBlockPolicy -EwsMaxSubscriptions 0 -ThrottlingPolicyScope Organization<\/em><\/p>\n<p>Dies deaktiviert das Aussenden von EWS-Benachrichtigungen am Exchange-Server. Dadurch k\u00f6nnen die Man-in-the-middle-Angriffe nicht mehr ausgef\u00fchrt werden. Der Pferdefu\u00df: Anwendungen, die auf diese EWS-Notifications angewiesen sind (z.B. Outlook for Mac, Skype for Busines etc.) bekommen diese Benachrichtigungen nicht mehr und werden in der Funktionalit\u00e4t beeintr\u00e4chtigt. <\/p>\n<p>Microsoft arbeitet an einem Update, gibt aber kein Erscheinungsdatum an. Sobald das Update sp\u00e4ter verf\u00fcgbar ist und installiert wurde, kann die Throttling Policy <em>EWSMaxSubscriptions <\/em>mit dem PowerShell-Befehl:<\/p>\n<p><em>Remove-ThrottlingPolicy -Identity AllUsersEWSSubscriptionBlockPolicy<\/em><\/p>\n<p>wieder zur\u00fcckgenommen werden. Weitere Details sind <a href=\"https:\/\/msrc.microsoft.com\/update-guide\/en-US\/vulnerability\/ADV170007\" target=\"_blank\" rel=\"noopener\">ADV190007<\/a> zu entnehmen.<\/p>\n<p><strong>\u00c4hnliche Artikel:<\/strong><br \/><a href=\"https:\/\/borncity.com\/blog\/2019\/01\/26\/ad-und-exchange-server-mittels-ews-api-angreifbar\/\">AD und Exchange Server mittels EWS API angreifbar<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2018\/11\/19\/sicherheitslcke-in-exchange-server-2010-2019\/\">Sicherheitsl\u00fccke in Exchange Server 2010-2019<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2019\/01\/29\/bsi-warnt-vor-exchange-server-schwachstellen-cve-2018-8581-cve-2018-8604\/\">BSI warnt vor Exchange Server-Schwachstellen CVE-2018-8581\/CVE-2018-8604<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]In allen Microsoft Exchange-Server-Versionen gibt es ja eine \"PrivExchange\"-Schwachstelle. Nun hat Microsoft am 5. Februar 2019 die neue Sicherheitsempfehlung ADV190007 zu diesem Sachverhalt ver\u00f6ffentlicht.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[5418,4328],"class_list":["post-214622","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-exchange-server","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/214622","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=214622"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/214622\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=214622"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=214622"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=214622"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}