Schwachstelle bei Microsoft Exchange

31.01.2019

Sursee, 31.01.2019 (PresseBox) - Microsoft Exchange Server ist über zwei Sicherheitslücken angreifbar. Die Schwachstellen sind schon seit Ende des vergangenen Jahres bekannt. Nun skizziert ein Sicherheitsforscher in einem Beitrag ein weiteres Angriffsszenario.


Ein Exploit-Code ist in Umlauf und Angriffe sollen aus der Ferne möglich sein. Einen Patch hat Microsoft bislang nicht veröffentlicht. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stuft zwischenzeitlich die Schwachstelle bei Microsoft Exchange als «sehr hoch» ein. Die Sicherheitslücke ermöglicht dem Angreifer die Berechtigung als Domänen Admin zu erlangen, was ein hohes Sicherheitsrisiko bedeutet.

Um die Ausnutzung der Lücke zu verhindern, kann die NTLM-Authentifizierung auf dem Netzwerk-Loopback-Adapter des Exchange Servers deaktiviert werden. Dies ist durch Löschen des Registrierungswerts DisableLoopbackCheck mit folgendem Befehl möglich:

reg delete HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa /v DisableLoopbackCheck /f

Aktuell können die Auswirkungen des Workarounds noch nicht abgeschätzt werden. Man spricht von Sharpoint Links, 3 Party Mail Security Lösungen von G-Data und Tools von Code Two. Angesichts der hohen Sicherheitsbedrohung sind die SharePoint Dead Links überschaubar.



Weitere Informationen finden Sie auf folgenden Links:

Information zu Schwachstellen und Sicherheitslücken
(Quelle: Bundesamt für Sicherheit und Informatonstechnik)

Sicherheitslücken in Microsoft Exchange gewähren Domain-Admin-Berechtigungen(Quelle: heise.de)

Microsoft Exchange Server Elevation of Privilege Vulnerability
(Quelle: Microsoft)

Abusing Exchange: One API call away from Domain Admin
(Quelle: dirkjanm.io)

Benötigen Sie weitere Auskünfte zu diesem Thema? Wir stehen Ihnen gerne zur Verfügung. Kontaktieren Sie unser Service Desk unter +41 58 226 01 00 oder unter it.servicedesk@bithawk.ch.
Lesen Sie hier weiter...