Privilege-Escalation-Angriff auf Exchange 2013
1. Februar 2019
Microsoft Exchange 2013 und neuere Versionen sind anfällig für einen Privilege-Escalation-Angriff (Rechteerweiterung). Der Sicherheitsforscher Dirk-Jan Mollema hat festgestellt, dass potentiell jeder Inhaber eines Postfachs darüber Rechte eines Domain Administrators erlangen kann.
Laut Angaben des Experten wäre der Angriff bei theoretisch 90 Prozent der ihm bekannten Unternehmen erfolgreich, die Exchange Systeme und Active Directory nutzen. Was eine Attacke dieser Art möglich macht, sind unter anderem die umfassenden Rechte, die Microsoft Exchange standardmäßig vergibt. Auf der niederländischen Fox-IT ist ein Beitrag zu lesen verfasst, der diese Schwachstelle ausführlich beschreibt.
Die meisten Unternehmen nutzen Exchange und Active Directory, und der Verzeichnisdienst ist wichtiger Bestandteil der meisten IT-Strategien. Active Directory wird als vertrauenswürdig betrachtet und ist die primäre Quelle für Authentisierung und Rechtezuweisung im Unternehmen. Schwachstellen aufgrund von Fehlkonfigurationen sind nichts Neues. Aber auch auf standardmäßig vergebene Berechtigungen sollte man sich nicht verlassen. Ohne entsprechendes Fachwissen und Kenntnis von Best-Practices werden solche Schwachstellen ein Problem für die Unternehmen bleiben. Leider reicht bereits eine einzige Fehlkonfiguration, um die komplette Sicherheitsstrategie zu untergraben.
Sobald Passwörter und Konten kompromittiert sind, helfen keine Kontrollen mehr, den potenziellen Schaden zu verhindern. Active Directory wird als Verzeichnisdienst mit Konten für zahlreiche Anwendungen genutzt, genau wie Exchange. Ist jemand erst einmal in den Besitz von Domain Level Admin-Rechten gelangt, ist es möglich diese Rechte auszuweiten und auf weitere kritische Applikationen zuzugreifen.
Man sollte sich nie standardmäßig auf vergebene Berechtigungen verlassen. Es empfiehlt sich, Skepsis zu bewahren und eine gewisse Paranoia hat sich an dieser Stelle durchaus bewährt. Unternehmen sollten ihre Implementierungen auf Basis des Prinzips der minimalen Rechtevergabe durchführen und diese in einer Test- beziehungsweise Entwicklungsumgebung sorgfältig überprüfen. Implementieren Sie darüber hinaus starke Authentifizierungsmethoden und stellen Sie über Multifaktor-Authentifizierung sicher, dass eine Person tatsächlich diejenige ist für die sich ausgibt. Natürlich kann man niemals ganz sicher sein, dass wirklich alle Grundlagen erfasst wurden.
Deshalb empfiehlt es sich spezielle Analysen einzusetzen, um unerwünschte Aktivitäten eines potenziellen Eindringlings nachzuvollziehen und zu erkennen. Überprüfen Sie, ob sämtliche Operationen sich in Übereinstimmung mit dem üblichen, respektive dem definierten Normalverhalten befinden. Für abweichende Aktivitäten aller Art sollten Sie Benachrichtigungen/Alerts einrichten.
Martin Grauel, One Identity
Hier geht es zu One Identity
