Zu Beginn dieses Jahres fand der niederländische Sicherheitsforscher Dirk-Jan Mollema von Fox-IT eine schwere Sicherheitslücke in Microsoft Exchange. Er veröffentlichte den Zero-Day-Code als Proof-of-Concept. Außerdem erläuterte er das Angriffsszenario, bei dem drei verschiedene Probleme sich in Interaktion treten. Hacker oder irgendwelche anderen kundigen Leute mit einem Exchange Postfach, könnten diese Schwachstelle nutzen, um Domänenadministratorrechte zu erhalten.
Der Sicherheitsforscher erläuterte, dass
„das Hauptproblem sei, das Exchange standardmäßig über hohe Berechtigungen in der Active Directory-Domäne verfügt“.
Drei verschiedene Probleme lassen diese Schwachstelle jedoch erst entstehen. Laut Mollema sind dies zum einen die hohen standardmäßigen Exchange-Berechtigungen. (Exchange-Server haben hohe Berechtigungen für die Active Directory (AD) -Domäne.) Benutzer in der Gruppe ExchangeWindowsPermissions können diese Domänenberechtigungen ändern. Sie haben dabei auch das Recht, die Hash-Kennwörter aller AD-Benutzer zu synchronisieren. Ein solcher Zugriff könnte es Angreifer ermöglichen, sich als ein anderer Benutzer auszugeben und sich bei Diensten mit NT LAN Manager (NTLM) oder Kerberos-Authentifizierung zu authentifizieren. Zum anderen spielen NTLM-Authentifizierungs-Relay-Angriffe dabei eine Rolle. Das NTLM-Protokoll selbst ist anfällig für Relay-Angriffe. Bei solchen Angriffen leitet ein Angreifer Nachrichten zwischen zwei oder mehr unbekannten Anwendern über SMB und LDAP weiter. Nutzer mit böser Absicht könnte dies verwenden, um den Authentifizierungsaustausch zwischen einem legitimen Benutzer und dem Server abzufangen und sich selbst anstelle des Benutzers zu authentifizieren.
Und letztlich ist die automatische Exchange-Authentifizierung auch noch daran beteiligt. Das E-Mail-Programm Exchange enthält die PushSubscription Funktion. Sie kann zur automatischen Authentifizierung bei einer beliebigen URL über HTTP mithilfe von NTLM-Authentifizierungshashes erzwungen werden. Ein Angreifer könnte dies ausnutzen und sich als ein anderer Exchange-Nutzer ausgeben.
Mollema erläutere in seinem Blogbeitrag weiter,
„Die Exchange-Windows-Berechtigungsgruppe verfügt über WriteDacl-Zugriff auf das Domänenobjekt in Active Directory, wodurch jedes Mitglied dieser Gruppe die Domänenberechtigungen ändern kann, darunter das Recht, DCSync-Vorgänge auszuführen“.
Er beschrieb auch, wie sich dieses Angriffsrisiko vermindern lassen würde:
- Die Berechtigungen für das Domänenobjekt in Exchange reduzieren
- die LDAP-Signatur und die Kanalbindung aktivieren
- die Verbindung von Exchange-Servern mit beliebigen Ports sperren
- den erweiterten Schutz für die Authentifizierung an Exchange-Endpunkten in IIS aktivieren
- den Registrierungsschlüssel entfernen, der das Relaying erst ermöglicht
- das Erzwingen der SMB-Signatur
In einem Kommentar schrieb der SANS IT-Sicherheitsexperte Dr. Johannes Ullrich, dass dies ein klassischer Fall sei, wie verschiedene Schwachstellen und Fehlkonfigurationen, die an sich alle gar nicht mal so schlimm seien, zu einem erheblichen Schadenpotenzial kombiniert werden können. Man solle sich nicht täuschen, und denken, man sei sicher, nur weil für den Exploit Berechtigungsnachweise erforderlich sind.
Irgendwelche Anmeldeinformationen von ganz beliebigen Exchange-Benutzern (nicht nur die des Admins) funktionieren für einen Angreifer, der bereits Netzwerkzugang hat, könnte das ausnutzen, um seine Berechtigungen zu erhöhen.
Mircosoft gab bekannt, dass es diese Sicherheitslücke mit dem nächsten Update patchen würde.
Artikel von theregister.co.uk, 25.01.2019: You’re an admin! You’re an admin! You’re all admins, thanks to this Microsoft Exchange zero-day and exploit
Artikel von systemtek.co.uk, 25.02.2019: Microsoft Exchange Domain Escalation Vulnerability
Urheberrechte Beitragsbild: Public Domain, Creative Commons CC0