image

Microsoft waarschuwt voor beveiligingslek in Exchange Server

woensdag 6 februari 2019, 09:53 door Redactie, 1 reacties

Microsoft waarschuwt organisaties voor een beveiligingslek in Exchange Server waardoor een aanvaller zijn rechten op het systeem kan verhogen en beheerdersrechten kan krijgen. De kwetsbaarheid werd onlangs door onderzoeker Dirk-jan Mollema beschreven.

Een gebruiker met een mailbox op de Exchange Server of een aanvaller die hier toegang toe heeft, kan via de kwetsbaarheid domeinbeheerder worden. Om het beveiligingslek te misbruiken moet een aanvaller een man-in-the-middle-aanval uitvoeren en een authenticatieverzoek naar een Microsoft Exchange Server doorsturen, waarbij de aanvaller een andere Exchange-gebruiker imiteert.

Microsoft merkt op dat de aanval van Mollema alleen werkt op systemen die van NTLM-authenticatie gebruikmaken. De NT LAN Manager (NTLM), en diens opvolger NTLMv2, is een challenge-en-response protocol voor het inloggen op Microsoft-accounts. Systemen waar NTLM is uitgeschakeld zijn niet kwetsbaar. Om het probleem te verhelpen kunnen organisaties een Throttling Policy voor EWSMaxSubscriptions instellen, zo laat Microsoft in de Security Advisory weten.

De maatregel kan echter gevolgen voor bepaalde applicaties hebben, zoals Outlook for Mac en Skype for Business. Microsoft merkt op dat er aan een beveiligingsupdate wordt gewerkt. Wanneer die zal verschijnen is nog onbekend. Zodra de update is verschenen kan de workaround met de Throttling Policy weer worden verwijderd.

Reacties (1)
11-02-2019, 15:45 door Anoniem
Ik lees overal dat ze authenticatie opzetten via HTTP (en niet via HTTPS). In geen van mijn omgevingen staat HTTP open naar EWS. In hoeverre ben ik dan kwetsbaar hiervoor?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.