2018-2327: Microsoft Exchange Server: Eine Schwachstelle ermöglicht die Eskalation von Privilegien

Historie:

Version 1 (2018-11-14 11:11)

Neues Advisory

Version 2 (2019-01-31 12:47)

Das CERT Coordination Center veröffentlicht Informationen zu einem kürzlich bekannt gewordenen Angriff, der unter anderem die Schwachstelle CVE-2018-8581 ausnutzt. Zur Behebung dieser Schwachstelle wird vom Hersteller weiterhin nur ein Workaround in der betreffenden FAQ angegeben, bei dem der Wert 'DisableLoopbackCheck' aus dem Schlüssel 'HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa' in der Registrierungsdatenbank entfernt wird. Weitere Sicherheitsmaßnahmen gegen den neuen Angriff entnehmen Sie der Referenz des CERT/CC und dem darin referenzierten Blog-Eintrag des Entdeckers des Angriffs. Keine der dort genannten Mitigationen wurde bislang von Microsoft bestätigt.

Version 3 (2019-02-04 11:54)

Wie unter anderem vom CERT-EU (siehe 'CERT-EU Security Advisory 2019-002: Privilege Escalation Exploiting MS Exchange'), dem Bundesamt für Sicherheit in der Informationstechnik (BSI) sowie von der Stabsstelle Informationssicherheit bayerischer Hochschulen und Universitäten berichtet wurde, schützt die von Microsoft empfohlene Mitigation der Schwachstelle CVE-2018-8581 (Löschen des Registry-Key-Wertes, welcher die Rückleitung zum Exchange Server ermöglicht) nicht gegen den eigentlichen NTLM-Relay-Angriff. Hierbei ist es durch Ausnutzung einer Schwachstelle in der Exchange Web Services (EWS) Schnittstelle und der zugehörigen PushSubscriptionRequest-Funktion möglich, NTLM-Hash-Werte an eine beliebige URL zu senden. Dadurch kann ein einfacher Benutzer (oder ein Angreifer, der durch kombinierte Ausnutzung mehrerer Schwachstellen dessen Identität verwendet) eine Privilegieneskalation durchführen, sich durch Nutzung eines zurück erhaltenen Server-NTLM-Hashwertes gegenüber einem Domain-Controller authentisieren und so die Rechte eines Domain-Administrators erlangen. Deshalb wird folgender Workaround empfohlen: Falls Exchange Web Services (EWS) Dynamic Subscriptions nicht verwendet werden, kann ohne negative Seiteneffekte der Angriff dadurch abgewehrt werden, dass eine Begrenzung auf 0 Subskriptionen für den EWS-Dienst über die gesamte Exchange-Organisation durchgesetzt wird (siehe dazu ergänzten Workaround und 'Microsoft Support: New-ThrottlingPolicy').

Version 4 (2019-02-06 12:01)

Microsoft veröffentlicht einen eigenen Sicherheitshinweis für den mittlerweile unter dem Namen 'PrivExchange' bekannt gewordenen Angriff und fasst darin die nötigen Vorbedingungen für den Angriff und mögliche Gegenmaßnahmen zusammen. Der Hersteller fordert Benutzer der Software auf, die angegebenen Workarounds zunächst in Testumgebungen zu prüfen, um den Einfluss auf produktive Systeme bewerten zu können. Insbesondere kann der Workaround im Kontext von EWS die Funktionalität von Outlook for Mac, Skype for Business und Apple Mail Clients sowie Line-of-Business (LOB)-Anwendungen negativ beeinflussen.

Betroffene Software

Middleware
Netzwerk

Betroffene Plattformen

Microsoft

Beschreibung:

Ein entfernter, nicht authentisierter Angreifer kann einen Man-in-the-Middle-Angriff durchführen und dadurch die Identität eines anderen Benutzers annehmen.

Im Rahmen des aktuellen Microsoft-Patchtages werden Sicherheitsupdates zur Behebung der Schwachstelle zur Verfügung gestellt. Microsoft klassifiziert die Schwachstelle als wichtig. Die Sicherheitsupdates können im Microsoft Security Update Guide über die Kategorie 'Exchange Server' identifiziert werden.

Schwachstellen:

CVE-2018-8581

Schwachstelle in Microsoft Exchange Server ermöglicht Privilegieneskalation

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.