Microsoft waarschuwt organisaties voor een beveiligingslek in Exchange Server waardoor een aanvaller zijn rechten op het systeem kan verhogen en beheerdersrechten kan krijgen. De kwetsbaarheid werd onlangs door onderzoeker Dirk-jan Mollema beschreven.

Een gebruiker met een mailbox op de Exchange Server of een aanvaller die hier toegang toe heeft, kan via de kwetsbaarheid domeinbeheerder worden. Om het beveiligingslek te misbruiken moet een aanvaller een man-in-the-middle-aanval uitvoeren en een authenticatieverzoek naar een Microsoft Exchange Server doorsturen, waarbij de aanvaller een andere Exchange-gebruiker imiteert.

Microsoft merkt op dat de aanval van Mollema alleen werkt op systemen die van NTLM-authenticatie gebruikmaken. De NT LAN Manager (NTLM), en diens opvolger NTLMv2, is een challenge-en-response protocol voor het inloggen op Microsoft-accounts. Systemen waar NTLM is uitgeschakeld zijn niet kwetsbaar. Om het probleem te verhelpen kunnen organisaties een Throttling Policy voor EWSMaxSubscriptions instellen, zo laat Microsoft in de Security Advisory weten.

De maatregel kan echter gevolgen voor bepaalde applicaties hebben, zoals Outlook for Mac en Skype for Business. Microsoft merkt op dat er aan een beveiligingsupdate wordt gewerkt. Wanneer die zal verschijnen is nog onbekend. Zodra de update is verschenen kan de workaround met de Throttling Policy weer worden verwijderd.