Du willst Domain-Administrator werden? Die neuen alten Microsoft-Exchange-Server-Sicherheitslücken machen es möglich!

Microsoft-Exchange-Server-Versionen weisen Schwachstellen auf. Diese Lücken sind schon seit Ende 2018 bekannt. Ein niederländischer Sicherheitsexperte hat nun eine weiter Angriffsmöglichkeit aufgezeigt. Same place, other station. Ein gefundenes Fressen für Angreifer. In der Theorie werden sie kinderleicht zu Domain-Administratoren und ein Patch gibt es wohl noch nicht.

Bezüglich der bereits bekannten Schwachstellen ging man davon aus, dass ein Angriff eher unwahrscheinlich ist. Und damit lebte es sich bis jetzt offensichtlich relativ gut. Die Lücken wurden von Microsoft als wichtig eingestuft. Ein Hack ist nicht wahrscheinlich. Vom Bundesamt für Sicherheit in der Informationstechnik (BSI) wird das Risiko als sehr hoch eingestuft. Angriffe seien aus der Ferne möglich und man könne sich erhöhte Privilegien verschaffen. Der Schaden ist vorprogrammiert.

Lieblingslücken

Die Lieblinge CVE-2018-8581 und CVE-2018-8604 haben es in alle Herzen geschafft. Und in alle Exchange-Server von Microsoft? Zu diesen ohnehin schon bekannten Lücken hat Microsoft bereits 2018 auf eine Rechteerweiterung hingewiesen. Ein Angreifer kann sich so als Benutzer ausgeben. So ist es ein leichtes, E-Mails zu kontrollieren und weiterzuleiten. Zu finden waren die Schwachstellen in Microsoft-Exchange-Servern 2010-2019. Dazu gibt es ein noch nicht verfügbares Patch. Wer in der Zwischenzeit noch höher hinaus will, muss sich beeilen.

Ich will Domain-Administrator werden

Der Zugriff auf ein Exchange-Postfach reicht aus um sich dann upzugraden. Das nächste Level? Domainadministrator! Dirk-Jan Mollema, ein Sicherheitsforscher, hat gezeigt, wie es geht. Dabei versuchte er sich an bereits gepatchten Servern. Alles reine Theorie, wechselweise durchgeschüttelt von Worst-Case-Szenarien? Das eigentliche Problem schläft weiter vor sich hin und tankt sich auf.

Zu viele Rechte?

Experten munkeln, dass das eigentliche Problem in den hochdosierten Exchange-Rechten besteht, die sich vor allem in der Active Directory Domain zeigen. Eine heftige Privilegien-Eskalation ist also nur eine Frage der Zeit.

Wie du dich schützen kannst?

Entweder du bist gut in Wahrscheinlichkeitsrechnung und setzt darauf, dass die Wahrscheinlichkeit für einen Angriff ohnehin zu gering ist oder du befolgst die Tipps zur Absicherung, die der Sicherheitsforscher Mollema in seinem Bericht beschreibt. Und dann gibt es ja noch die Chance, dass das Problem behoben wird.

Fazit

Im Februar 2019 ist Patch-day. Ob Microsoft da das passende Flickzeug dabei hat? Wir werden sehen. Bis dahin: Digital detox oder schütze deine Daten!

Quelle: heise.de; pixabay.com

Zusammenfassung
Du willst Domain-Administrator werden? Die neuen alten Microsoft-Exchange-Server-Sicherheitslücken machen es möglich!
Artikel Name
Du willst Domain-Administrator werden? Die neuen alten Microsoft-Exchange-Server-Sicherheitslücken machen es möglich!
Beschreibung
Microsoft-Exchange-Server-Versionen weisen Schwachstellen auf. Diese Lücken sind schon seit Ende 2018 bekannt und wir haben bereits darüber berichtet. Ein niederländischer Sicherheitsexperte hat nun eine weiter Angriffsmöglichkeit aufgezeigt. Same place, other station. Ein gefundenes Fressen für Angreifer. In der Theorie werden sie kinderleicht zu Domain-Administratoren und ein Patch gibt es wohl noch nicht.
Author
Veröffentlicher
vpn-blog.de
Logo

Erstellt am:9. Februar 2019

Schreibe einen Kommentar

Weitere Artikel

/ / Anwendungen
In Kürze neu bei Surfshark VPN: BlindSearch™ & HackLock™

In Kürze neu bei Surfshark VPN: BlindSearch™ & HackLock™

Surfshark VPN hat in den letzten Monaten viel von sich hören lassen. 2018 erst gegründet, sorgt der supergünstige Anbieter regelmäßig für weitere Verbesserungen seiner Services. Beliebte Funktionen wie CleanWeb oder Whitelister sollen nun Zuwachs bekommen: Mit BlindSearch™ und HackLock™ erhalten die User zukünftig noch mehr für ihr Geld. Ein wenig dauert es zur Veröffentlichung zwar noch, wir haben aber direkt mit den Surfshark Machern gesprochen und einige spannende Details über die geplanten Features und ihre Vorteile herausgefunden. Und die wollen ...
Weiterlesen …
Angst, dass dein Smartphone & Co an der US-Grenze durchsucht wird? Dann beachte unsere 5 Tipps!

Angst, dass dein Smartphone & Co an der US-Grenze durchsucht wird? Dann beachte unsere 5 Tipps!

Grenzbehörden greifen immer drastischer in unsere Privatsphäre ein: Letztes Jahr führten US-Beamte über 33.000 Durchsuchungen von Geräten durch – ohne entsprechenden Durchsuchungsbefehl. Drei Jahre zuvor waren es nur 8.000. Untersuchungen zeigen, dass Beamte nahezu unbegrenzte Autorität haben, die Geräte von Reisenden an Grenzen zu durchsuchen. Die dabei gewonnenen Informationen können bis zu unglaublichen 75 Jahren gespeichert werden! Weitaus dramatischer ist aber die Tatsache, dass die Behörden deine Geräte auch nach Informationen über all jene Personen durchforsten kann, mit denen du ...
Weiterlesen …
/ / Politik, Überwachung
Du willst ein Visum für die USA? Dann musst du deine Social Media-Accounts offen legen!

Du willst ein Visum für die USA? Dann musst du deine Social Media-Accounts offen legen!

Die USA halten generell nicht viel von Privatsphäre. Schon gar nicht, wenn es um ausländische Besucher geht. So müssen alle jene, die ein Visum für die USA brauchen, ab sofort auch Auskunft zu ihren E-Mail- und Social-Media-Konten geben – verpflichtend! Sonst heißt es Draußenbleiben. Esta-Einreisen betrifft das aber nicht. Wieder einmal wird die „nationale Sicherheit“ vom US-Außenministerium für die Maßnahmen vorgeschoben, die bereits seit 2018 im Gespräch war. Diese heiligt alle Mittel – Überwachung etc. Wenn du ein US-Visum benötigst ...
Weiterlesen …
/ / Datenschutz
Klage wegen Cambridge Analytica Datenskandal: Facebook sieht keine Verletzung der Privatsphäre seiner User

Klage wegen Cambridge Analytica Datenskandal: Facebook sieht keine Verletzung der Privatsphäre seiner User

Erinnerst du dich noch an den großen Facebook Datenskandal rund um Cambridge Analytica? Dieser hat letztes Jahr für ordentlich Wirbel gesorgt. Einige User wollten sich die Datenweitergabe von Facebook nicht gefallen lassen und haben eine Sammelklage angestrengt. Klar, dass Facebook alles ganz anders sieht. Der Konzern meint doch tatsächlich, dass die Privatsphäre der Nutzer durch den Datenskandal nicht verletzt wurde … Als 2018 der Skandal rund um Cambridge Analytica und die damit verbundene unrechtmäßige Weitergabe von Nutzerdaten bekannt wurde, haben ...
Weiterlesen …
Wird geladen...