Es wurde eine neue Sicherheitslücke gemeldet(CVE-2019-1136), die es einem Angreifer ermöglicht, auf die E-Mail-Postfächer eines beliebigen Benutzers zuzugreifen, wenn sie ausgenutzt wird. Es gibt noch keine bekannten Exploits für diese Schwachstelle, aber jede Schwachstelle, die Angriffe zur Ausweitung von Berechtigungen ermöglicht, verdient die Aufmerksamkeit von IT- und Sicherheitsteams. Microsoft hat vor kurzem über diese Schwachstelle berichtet und dies in seiner offiziellen Mitteilung mitgeteilt:
In Microsoft Exchange Server besteht eine Sicherheitslücke bezüglich der Erhöhung von Berechtigungen. Ein Angreifer, der diese Schwachstelle erfolgreich ausnutzt, könnte die gleichen Rechte wie jeder andere Benutzer des Exchange-Servers erhalten. Dies könnte es dem Angreifer ermöglichen, Aktivitäten wie den Zugriff auf die Postfächer anderer Benutzer durchzuführen. Um diese Sicherheitsanfälligkeit auszunutzen, müssen die Exchange Web Services (EWS) in einer betroffenen Umgebung aktiviert und in Gebrauch sein. Um die Sicherheitsanfälligkeit auszunutzen, müsste ein Angreifer einen Man-in-the-Middle-Angriff ausführen, um eine Authentifizierungsanfrage an einen Microsoft Exchange Server weiterzuleiten und sich so als ein anderer Exchange-Benutzer auszugeben. Um diese Sicherheitsanfälligkeit zu beheben, hat Microsoft die Art und Weise geändert, wie EWS mit NTLM-Tokens umgeht.
So finden Sie die betroffenen Server in Censys
Wir möchten den Benutzern von Censys (insbesondere den Bedrohungsjägern und Pentestern unter Ihnen) einige Methoden vorstellen, mit denen sie unsere Daten nutzen können, um diese Schwachstellen zu finden. Im Folgenden erfahren Sie, wie wir nach betroffenen Servern gesucht haben.
- Die Liste der von dieser Sicherheitslücke betroffenen Softwareversionen haben wir dem Microsoft Advisory entnommen.
- Dann haben wir diese Informationen in Bauzahlen umgewandelt und als Ressource genutzt.
- Anhand der Build-Nummern und ihrer Veröffentlichungsdaten konnten wir in Censys nach den Servern suchen, die im HTTP-Header X-OWA-Version aufgeführt sind, und dieses Feld mit OR durchsuchen, um alle betroffenen Versionen zu finden.
- Hier ist die Report Builder-Ansicht dieser Suchergebnisse, aufgeschlüsselt nach Ländern: https://is.gd/FNW4T7
Dieser Bericht zeigt, dass die verwundbaren Server überwiegend in den Vereinigten Staaten zu finden sind und dass wir auf der Grundlage dieses Suchansatzes mindestens 9700 verwundbare Server finden.
Hier finden Sie eine kurze Anleitung, wie wir die betroffenen Server gefunden haben, damit Sie den Prozess bei der Suche nach zukünftigen CVEs in unseren Daten wiederholen können. Der schwierigste Teil ist immer das Übersetzen der betroffenen Versionsinformationen aus dem Schwachstellenbericht in die Art und Weise, wie die Software diese Versionsnummer meldet. Wir haben über diesen Prozess bereits bei der Untersuchung einer Microsoft Sharepoint-Schwachstelle geschrieben, die Sie sich vielleicht ansehen sollten.
Wir würden uns freuen, Ihre Gedanken, Ihr Feedback und Ihre Vorschläge im Gespräch auf Twitter zu hören.
