Microsoft Exchange: Zero-Day-Lücke kompromittiert Domänencontroller

CyberkriminalitätSicherheit
exchange-logo (Bild: Microsoft)

Der Sicherheitsforscher Mollema kombiniert verschiedene Schwachstellen zu einem neuen Angriff. Ein Angreifer, der nur über die Anmeldedaten eines Exchange-Postfachs verfügt, erhält so Administrator-Rechte für den Domänen-Controller. Das erforderliche Python-Tool ist frei verfügbar.

Die Zero-Day-Lücke in Exchange Server, die der Sicherheitsforscher Dirk-Jan Mollema von der niederländischen Sicherheitsfirma Fox-IT öffentlich gemacht hat, ermöglicht es einem Angreifer, der nur über die Anmeldedaten eines Exchange-Postfachs verfügt, Administrator-Rechte für den Domänen-Controller zu erhalten. Er braucht dafür nur ein auf GitHub frei verfügbares Python-Tool.

Bei der Zero-Day-Lücke handelt sich sich allerdings nicht um eine einzelne Schwachstelle, sondern um eineKombination aus drei Voreinstellungen und Mechanismen, die ein Angreifer für die nicht autorisierte Ausweitung von Nutzerrechten verwenden kann. Als Ausgangspunkt kann ein gehacktes E-Mail-Konto dienen. Ein Hacker ist am Ende seines Angriffs Administrator des Domänen-Controllers, der die Authentifizierungsanforderungen innerhalb einer Windows-Domäne verwaltet.

Exchange Web Services (EWS) heißt die erste Funktion, die Mollema für seine Zwecke nutzte. Er bringt darüber einen Exchange Server dazu, sich auf einer von ihm kontrollierten Website mit dem Computer-Konto des Exchange Servers anzumelden. Diese Authentifizierung erfolgt wiederum über NTLM-Hashes, die per HTTP übertragen werden. Aufgrund eines Fehlers des Exchange Servers ist die NTLM-Authentifizierung jedoch angreifbar, wodurch Mollema den NTLM-Hash des Exchange Servers erhält.

Der Forscher nutzt das jetzt kompromittierte Computer-Konto des Exchange-Servers, um auf bestimmte ab Werk aktivierte Funktionen zuzugreifen, die es ihm schließlich erlauben, den Domänen-Controller zu übernehmen und beliebige Konten anzulegen.

Der PrivExchange genannte Angriff soll mit Exchange Server 2013 in Verbindung mit Domänen-Controllern von Windows Server funktionieren. Ein Patch von Microsoft liegt noch nicht vor. In seinem Blogeintrag beschreibt Mollema jedoch mehrere Maßnahmen, die Administratoren ergreifen können, um Angriffe auf die Schwachstelle zu verhindern.

Die PrivExchange-Anfälligkeit sollte nicht unterschätzt werden. Aufgrund des verfügbaren Beispielcodes ist sie leicht anzuwenden. Zudem kann ein Hacker unter Umständen die vollständige Kontrolle über eine Windows-IT-Infrastruktur erhalten, was die Schwachstelle zu einem attraktiven Ziel für Angreifer machen sollte.

Mollema erklärt, dass sein Angriff keine bisher unbekannten Bugs ausnutzt. Vielmehr handele es sich um eine Kombination von bekannten Anfälligkeiten mit ebenfalls bereits bekannten Schwachstellen in Protokollen.

Lesen Sie auch :