Microsoft Exchange Server ist über zwei Sicherheitslücken angreifbar. Die Schwachstellen sind schon seit Ende des vergangenen Jahres bekannt. Nun skizziert ein Sicherheitsforscher in einem Beitrag ein weiteres Angriffsszenario.
Ein Exploit-Code ist in Umlauf und Angriffe sollen aus der Ferne möglich sein. Einen Patch hat Microsoft bislang nicht veröffentlicht. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stuft zwischenzeitlich die Schwachstelle bei Microsoft Exchange als «sehr hoch» ein. Die Sicherheitslücke ermöglicht dem Angreifer die Berechtigung als Domänen Admin zu erlangen, was ein hohes Sicherheitsrisiko bedeutet.
Nach neusten Erkenntnissen sind mehrere Aktionen notwendig, um ein System gegen den Angriff resistent zu machen. Allerdings kann mit einzelnen Massnahmen die Attacke bereits erheblich erschwert werden.
Die aktuell empfohlenen Massnahmen findet man unter folgendem Link:
Abusing Exchange: One API call away from Domain Admin
(Quelle: dirkjanm.io)
Wir empfehlen, die neusten Informationen über diese Quelle zu beziehen.
Es besteht die Möglichkeit, die Attacke durch Event-Log-Einträge auf den Domänen-Kontrollern zu detektieren. Die aktuellen Details sind auf folgendem Link ersichtlich:
Relaying Exchange’s NTLM authentication to domain admin (and more)
(Quelle: isc.sans.edu)
Weitere Informationen finden Sie auf folgenden Links:
Information zu Schwachstellen und Sicherheitslücken
(Quelle: Bundesamt für Sicherheit und Informatonstechnik)
Sicherheitslücken in Microsoft Exchange gewähren Domain-Admin-Berechtigungen (Quelle: heise.de)
Microsoft Exchange Server Elevation of Privilege Vulnerability
(Quelle: Microsoft)
Benötigen Sie weitere Auskünfte zu diesem Thema? Wir stehen Ihnen gerne zur Verfügung. Kontaktieren Sie unser Service Desk unter +41 58 226 01 00 oder unter it.servicedesk@bithawk.ch.