Lücke in Microsoft Exchange Server mit höchster Risiko-Bewertung

"Ein entfernter, authentisierter Angreifer kann eine Schwachstelle in Microsoft Exchange Server 2013 ausnutzen, um seine Privilegien zu erhöhen", meldet das Bundesamt für Sicherheit in der Informationstechnik (BSI) aus Deutschland heute.
 
Das BSI vergibt für die Schwachstelle die höchste Risikostufe "5".
 
Konkret geht es um Microsoft Exchange Server 2013/2013, Microsoft Exchange Server 2013/2016, Microsoft Exchange Server 2013/2019 (alle voll gepatcht). Und es scheint, als könne jeder User mit einer Mail-Box Domain-Admin-Rechte erhalten.
 
Seit kurzem ist auch ein PoC vorhanden, den der Security-Forscher Dirk-jan Mollema verantwortet und ausführlich erklärt. Um die Attacke auszuführen, benötige man die beiden Tools "privexchange.py" und "ntlmrelayx". "Sie können beide bei Github im "PrivExchange" und im "impacket" Repository finden", erläutert Mollema hilfsbereit.
 
Mollema hat auch Tipps, welche die Lektüre lohnen, da bis anhin kein Patch verfügbar ist. Man solle Exchange auf die Rechte hin überprüfen und zu weitreichende Rechte beschränken. Auch solle man die Signatur von LDAP- und SMB-Kommunikation im Server aktivieren.
 
Exchange 2010 SP3 scheine nicht verletzlich zu sein, hält Mollema fest.
 
'The Register' entdeckte den PoC vor einigen Tagen und bat Microsoft um einen Kommentar. Redmond verwies ganz allgemein und ohne Bezug auf die Lücke auf den normalen "Patch Tuesday". (mag)