Microsoft Exchange Server ist über zwei Sicherheitslücken angreifbar. Die Schwachstelle sind schon seit Ende vergangenen Jahres bekannt. Nun skizziert ein Sicherheitsforscher in einem Beitrag ein weiteres Angriffszenario.
Exploit-Code ist in Umlauf und Angriffe sollen aus der Ferne möglich sein. Das Notfallteam des Bundesamt für Sicherheit in der Informationstechnik (BSI) CERT Bund sieht das Risiko als "sehr hoch" an. Einen Patch hat Microsoft bislang nicht veröffentlicht.
Rechteausweitung
Im Sicherheitshinweis CVE-2018-8581 vom 13. November 2018 beschreibt Microsoft eine Privilege-Escalation-Lücke in Microsoft Exchange Server (2010 bis 2019). Ein Angreifer, der diese Schwachstelle erfolgreich ausnutzt, kann sich nach Angaben von Microsoft als "anderer Benutzer" ausgeben.
Zur Ausnutzung der Schwachstelle müsste ein Angreifer einen Man-in-the-Middle-Angriff ausführen. Dadurch ließe sich eine Authentifizierungsanforderung an einen Microsoft Exchange Server weiterleiten, um die Darstellung eines anderen Exchange-Benutzers zu ermöglichen. Ein Angreifer könnte damit die Kontrolle über die E-Mails anderer Nutzer auf dem Exchange Server erlangen und beispielsweise an sich weiterleiten.
Update bislang nicht da
Microsoft stuft im Sicherheitshinweis zur Lücke den Schweregrad als "wichtig" ein und sieht die Ausnutzung als "wenig wahrscheinlich" an. Daher wurde im November 2018 nur ein Patch in "einem der kommenden kumulativen Updates" avisiert. Verfügbar ist er bisher aber nicht.
Bis zum Erscheinen gibt Microsoft Admins von Exchange Servern eine Möglichkeit zum Stopfen der Schwachstelle an die Hand: Um die Ausnutzung der Lücke zu verhindern, kann die NTLM-Authentifizierung auf dem Netzwerk-Loopback-Adapter deaktiviert werden. Dies ist durch Löschen des Registrierungswerts DisableLoopbackCheck mit folgendem Befehl möglich:
reg delete HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa /v DisableLoopbackCheck /f
Der Befehl ist in einer administrativen Eingabeaufforderung auszuführen und löscht den betreffenden Registrierungswert. Die Änderung wird sofort und ohne Neustart des Servers wirksam. Der DisableLoopbackCheck-Wert lässt sich auch über Gruppenrichtlinien (GPO) löschen. Allerdings hat die Entfernung des Registrierungswerts Auswirkungen auf Drittanbieter-Tools wie G-Data Mailsecurity for Exchange, wie in einem Blog-Beitrag angedeutet wird. SharePoint verwendet den Registrierungswert ebenfalls.
0-Day-Exploit verfügbar
Inzwischen hat sich die Situation in Bezug auf die Ausnutzbarkeit geändert: Bereits am 19. Dezember 2018 veröffentlichte die Zero Day Initiative (ZDI) einen Artikel, in dem ein Angriff auf Exchange Server demonstriert wird. Basis ist eine weitere Schwachstelle (CVE-2018-8604), die Microsoft mit dem Schweregrade "wichtig" einstuft, aber bezüglich der Ausnutzbarkeit ebenfalls als "wenig wahrscheinlich" ansieht.
Im Exploit wird die Outlook Web App (OWA) beim Zugriff auf ein Exchange-Postfach missbraucht, um über NTLM-Hashes zur HTTP-Authentifizierung auf die Exchange Web Services (EWS API) zuzugreifen. Da diese mit NT AUTHORITY\SYSTEM-Level laufen, erhält der Angreifer während der Sitzung entsprechende Rechte und kann sich anschließend als ein anderer Nutzer ausgeben. Dies ermöglicht beispielsweise, E-Mails abzufangen, zu manipulieren und weiterzuleiten.
Angriff auf Active Directory
Am 21. Januar 2019 veröffentlichte Sicherheitsforscher Dirk-Jan Mollema von der niederländischen Fox-IT, basierend auf den obigen Beiträgen, den Artikel Abusing Exchange: One API call away from Domain Admin. Dort beschreibt Mollema, wie ein Angreifer mit Zugriff auf ein Exchange-Postfach sich über die bekannten Schwachstellen in Exchange Server zum Domain-Admin hochstufen kann.
Das Proof-of-Concept (PoC) wurde von Mollema erfolgreich auf Exchange 2013 (CU21) unter Windows Server 2012 R2, auf Windows Server 2016 DC und Exchange 2016 (CU11) unter Windows Server 2016 und auf einen Server 2019 DC getestet, der ebenfalls vollständig gepatcht war.
Aufgrund der Berichte ist die Wahrscheinlichkeit gestiegen, dass Angreifer diesen Ansatz in der Praxis bald ausnutzen könnten. Administratoren von Exchange Servern wird empfohlen, den oben beschriebenen Registrierungswert DisableLoopbackCheck zeitnah zu entfernen. In seinem Beitrag zählt Mollema weitere Workarounds zur Absicherung auf.
Bleibt zu hoffen, dass Microsoft im Februar 2019 am Patchday ein Update zum Beheben der Schwachstellen für alle Exchange-Server-Versionen bereitstellt.
Quelle: Sicherheitslücken in Microsoft Exchange gewähren Domain-Admin-Berechtigungen | heise online