Kritische Zero-Day-Lücke in Microsoft Exchange kompromittiert Domänencontroller

Der Sicherheitsforscher Dirk-Jan Mollema von der niederländischen Sicherheitsfirma Fox-IT hat eine Zero-Day-Lücke in Exchange Server öffentlich gemacht. Sie erlaubt es einem Angreifer, der lediglich über die Anmeldedaten eines Exchange-Postfachs verfügt, Administrator-Rechte für den Domänen-Controller zu erhalten. Dafür benötigt er lediglich ein auf GitHub frei verfügbares Python-Tool.

Allerdings handelt es sich bei der Zero-Day-Lücke nicht um einen einzelnen Bug, sondern um die Kombination aus drei Voreinstellungen und Mechanismen, die ein Angreifer für die nicht autorisierte Ausweitung von Nutzerrechten verwenden kann. Ausgangspunkt kann ein gehacktes E-Mail-Konto sein. Am Ende seines Angriffs ist ein Hacker Administrator des Domänen-Controllers, der die Authentifizierungsanforderungen innerhalb einer Windows-Domäne verwaltet.

Die erste Funktion, die Mollema für seine Zwecke nutzte, heißt Exchange Web Services (EWS). Darüber bringt er einen Exchange Server dazu, sich auf einer von ihm kontrollierten Website mit dem Computer-Konto des Exchange Servers anzumelden. Diese Authentifizierung erfolgt wiederum über NTLM-Hashes, die per HTTP übertragen werden. Aufgrund eines Fehlers des Exchange Servers ist die NTLM-Authentifizierung jedoch angreifbar, wodurch Mollema den NTLM-Hash des Exchange Servers erhält.

Das nun kompromittierte Computer-Konto des Exchange-Servers nutzt der Forscher, um auf bestimmte ab Werk aktivierte Funktionen zuzugreifen, die es ihm schließlich erlauben, den Domänen-Controller zu übernehmen und beliebige Konten anzulegen.

Der PrivExchange genannte Angriff soll mit Exchange Server 2013 in Verbindung mit Domänen-Controllern von Windows Server funktionieren. Ein Patch von Microsoft liegt noch nicht vor. In seinem Blogeintrag beschreibt Mollema jedoch mehrere Maßnahmen, die Administratoren ergreifen können, um Angriffe auf die Schwachstelle zu verhindern.

Die PrivExchange-Anfälligkeit sollte nicht unterschätzt werden. Aufgrund des verfügbaren Beispielcodes ist sie leicht anzuwenden. Zudem kann ein Hacker unter Umständen die vollständige Kontrolle über eine Windows-IT-Infrastruktur erhalten, was die Schwachstelle zu einem attraktiven Ziel für Angreifer machen sollte.

Mollema betont, dass sein Angriff keine bisher unbekannten Bugs ausnutzt. Vielmehr handele es sich um eine Kombination von bekannten Anfälligkeiten mit ebenfalls bereits bekannten Schwachstellen in Protokollen.

Whitepaper

Studie zu Filesharing im Unternehmen: Kollaboration im sicheren und skalierbaren Umfeld

Im Rahmen der von techconsult im Auftrag von ownCloud und IBM durchgeführten Studie wurde das Filesharing in deutschen Unternehmen ab 500 Mitarbeitern im Kontext organisatorischer, technischer und sicherheitsrelevanter Aspekte untersucht, um gegenwärtige Zustände, Bedürfnisse und Optimierungspotentiale aufzuzeigen. Jetzt herunterladen!

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Google-Forscher entdeckt schwerwiegende Sicherheitslücke in Mozillas NSS-Bibliothek

Ein Angreifer kann Speicherbereiche mit eigenem Code überschreiben. Der Mozilla-Browser Firefox ist aber nicht betroffen.

32 Minuten ago

Forscher warnen vor unsicheren Cloud-Computing-Diensten

Sie richten 320 Honeypots mit unsicher konfigurieren Diensten sowie schwachen Zugangskennwörtern ein. Bereits nach 24…

1 Stunde ago

Online-Handel unter Bot-Beschuss

Unter dem Motto „Es ist ein Bot entsprungen“ machen Hacker dem Online-Handel dieses Weihnachten erneut…

2 Stunden ago

Mit Neo zu Cloud-Native-Ufern

OutSystems fokussiert sich auf Lösungen für die Low-Code-Programmierung. Dieses Verfahren zur Softwareerstellung ohne tiefgehende Programmierkenntnisse…

2 Stunden ago

Netzwerktransformation mit NaaS

Viele Netzwerk-Admins achten in erster Linie auf die Konnektivität. Netzwerk as a Service (NaaS) kann…

6 Stunden ago

ONLYOFFICE: Partnerprogramm bietet zahlreiche Vorteile für neue Reseller

Wer seinen Kunden im Rahmen seiner Softwarelösung, IT-Services oder einfach nur als Reseller die Open-Source-Kollaborationsplattform…

7 Stunden ago