2019-0312: Microsoft Exchange Server: Zwei Schwachstellen ermöglichen die Eskalation von Privilegien

Historie:

Version 1 (2019-02-13 13:12): Neues Advisory

Betroffene Software

Middleware
Netzwerk

Betroffene Plattformen

Microsoft

Beschreibung:

Ein entfernter, nicht authentisierter Angreifer kann zwei Schwachstellen durch Man-in-the-Middle (MitM)-Angriffe ausnutzen und dadurch im einen Fall die Identität eines anderen Benutzers annehmen bzw. im anderen Fall erweiterte Rechte auf einem Microsoft Active Directory Domain Controller erlangen.

Im Rahmen des aktuellen Microsoft-Patchtages werden Sicherheitsupdates zur Behebung der Schwachstellen zur Verfügung gestellt. Microsoft klassifiziert beide Schwachstellen als wichtig. Die Sicherheitsupdates können im Microsoft Security Update Guide über die Kategorie 'Exchange Server' identifiziert werden.

Microsoft adressiert die Schwachstellen indem die Vereinbarung von Benachrichtigungen (Notifications) zwischen EWS-Clients und Exchange Server derart abgeändert wird, dass keine authentifizierten Benachrichtigungen durch den Server weitergeleitet werden können und außerdem die Rechte für Exchange Server und Exchange Administratoren innerhalb einer Active Directory Domain auf das erforderliche Niveau verringert werden.

Weiterhin stellt Microsoft Sicherheitsupdates für die Oracle Outside-In-Bibliothek zur Verfügung (siehe dazu ADV190004), da Microsoft Exchange Server einige Elemente dieser Bibliothek beinhaltet, und stellt Anweisungen zur Sicherheitsanfälligkeit „PrivExchange“ bezüglich Rechteerweiterungen bereit (siehe dazu ADV190007).

Schwachstellen:

CVE-2019-0686

Schwachstelle in Microsoft Exchange Server ermöglicht Privilegieneskalation

CVE-2019-0724