zurück zum Artikel

Weiterer Workaround von Microsoft für verwundbare Exchange-Server

Weiterer Workaround von Microsoft für verwundbare Exchange-Server

(Bild: geralt)

Bis ein Patch für Microsoft Exchange verfügbar ist, soll ein Notbehelf die Ausnutzung der in allen Versionen bestehenden Sicherheitslücke verhindern.

Alle Exchange Server-Versionen von Microsoft sind über bisher ungepatchte Sicherheitslücken angreifbar. Ein Sicherheitspatch ist in der Entwicklung. Jetzt gibt es einen neuen Workaround, um Server abzusichern.

Eine seit November 2018 bekannte Schwachstelle ermöglicht einem Angreifer das Ausweiten von Privilegien. Ende Januar 2019 veröffentlichte ein Sicherheitsforscher einen Exploit [1]. Schon zu diesem Zeitpunkt gab es erste Gegenmaßnahmen [2]. Nun hat Microsoft einen Sicherheitshinweis veröffentlicht [3], in dem Admins Tipps finden, um Exchange-Server abzusichern.

Bei Systemen, die einem hohen Risiko durch mögliche Angriffe ausgesetzt sind, schlägt Microsoft bis zum Erscheinen von Updates einen Workaround vor. Um betroffene Server abzusichern, müssen Admins die verwundbaren Throttling Policy EWSMaxSubscriptions [4] mit folgendem Powershell-Befehl definieren und deren Wert auf 0 zu setzen.

New-ThrottlingPolicy -Name AllUsersEWSSubscriptionBlockPolicy -EwsMaxSubscriptions 0 -ThrottlingPolicyScope Organization

Dies verhindert Microsoft zufolge, dass der Exchange-Server EWS-Benachrichtigungen sendet und ein Angreifer die Schwachstelle ausnutzen kann. Client-Anwendungen wie Outlook für macOS oder Skype für Business, die auf EWS-Benachrichtigungen angewiesen sind, werden so aber wohl nicht mehr ordnungsgemäß funktionieren.

Microsoft arbeitet zurzeit an einem Update, welches die Schwachstelle schließen soll. Sobald dieses Update vorliegt und installiert wurde, kann man die obige Richtlinie durch folgenden Befehl zurücknehmen.

New-ThrottlingPolicy AllUsersEWSSubscriptionBlockPolicy (Günter Born) / (des [5])


URL dieses Artikels:
http://www.heise.de/-4300374

Links in diesem Artikel:
[1] https://dirkjanm.io/abusing-exchange-one-api-call-away-from-domain-admin/
[2] https://www.heise.de/meldung/Sicherheitsluecken-in-Microsoft-Exchange-gewaehren-Domain-Admin-Berechtigungen-4290574.html
[3] https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV190007
[4] https://docs.microsoft.com/en-us/powershell/module/exchange/server-health-and-performance/set-throttlingpolicy?view=exchange-ps
[5] mailto:des@heise.de