AD und Exchange Server mittels EWS API angreifbar

Noch ein kurzer Infosplitter für Exchange Administratoren. Es gibt eine ungepatchte Schwachstelle (CVE-2018-8581) auf allen Exchange Server-Versionen, die sich durch Remote-Angreifer zur Übernahme der Maschine genutzt werden könnte.


Anzeige

Am 21. Januar 2019 hat Dirk-jan Mollema ein Proof-of-Concept (PoC) veröffentlicht, um sich per Benutzerkonto auf einem Exchange-Server zum AD-Administrator hochzustufen. The Register hat das dann in diesem Artikel aufgegriffen.

Seitdem häufen sich die Berichte über die mit CVE-2018-8581 gekennzeichnete Schwachstelle. Im Web wird dann angegeben, dass diese Schwachstelle seit Dezember 2018 bekannt sei.

Als ich dann den Workaround über die Deaktivierung des Registrierungswerts DisableLoopbackCheck las, habe ich mal kurz hier im Blog gesucht. Dabei habe ich festgestellt, dass ich im bereits im November 2018 auf die ungepatchte Sicherheitslücke auf allen Exchange Server-Versionen hingewiesen habe.

Die Informationen finden sich im Blog-Beitrag Sicherheitslücke in Exchange Server 2010-2019 vom 19. November 2018. Dort wird auch der Registrierungseingriff beschrieben. Ich habe in diesem Artikel die aktuellen Informationen vom Januar 2019 nachgetragen.

PS: Es wird an einigen Stellen im Web gemutmaßt, dass der Ausfall der Office365.com-Dienste mit Exchange Online (siehe Update zum Office365-Ausfall (Samstag, den 26.1.2019)) mit dem veröffentlichten Exploit zu tun habe. Ich denke, das sind zwei verschiedene Ursachen – denn andernfalls würde Microsoft den Admins unter seinen Kunden etwas vorschlagen, was man bei der eigenen Infrastruktur nicht nutzt (obwohl bei Exchange Online möglicherweise die Angriffsfläche größer ist). Da mag ich nicht wirklich dran glauben.


Anzeige


Dieser Beitrag wurde unter Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.