BSI: Neuer 0-Day Exploit in MicrosoftExchange Server
Am 28. September veröffentlichte das Cyber-Sicherheitsunternehmen GTSC einen Blogbeitrag zu neuen
Zero-Day Exploits in Microsoft Exchange Servern [GTSC2022]. Demnach wurden im Rahmen einer Analyse
eines Vorfalls Hinweise auf eine aktive Ausnutzung von zwei Sicherheitslücken entdeckt. Diese waren in der
Lage, auch vollständig gepatchte Systeme zu kompromittieren.
Microsoft hat hierzu einen Beitrag auf seiner Webseite veröffentlicht [MSRC2022]. Darin wird angegeben,
dass die Schwachstellen eine Server-Side Request Forgery (CVE-2022-41040) sowie eine Remote Code
Execution (CVE-2022-41082) ermöglichen, wenn der Angreifer Zugriff auf PowerShell hat. Hierfür sei
allerdings ein authentifizierter Zugriff auf den verwundbaren Server nötig.
Verwundbar seien laut Microsoft die Microsoft Exchange Server 2013, 2016, und 2019.
Gemäß Common Vulnerability Scoring System (CVSS) wurden die Schwachstellen hinsichtlich ihres
Schweregrads mit 8.8 bzw. 6.3 von 10 Punkten als „hoch“ bzw. „mittel“ eingestuft.
Update 1:
In Anlehnung an die im vergangenen Jahr entdeckten Sicherheitslücken in Microsoft Exchange werden
die nun bekannt gewordenen Schwachstellen in den Sozialen Medien unter dem Namen „ProxyNotShell“
diskutiert [TWIT2022a].
Bewertung
Komponenten der E-Mailinfrastruktur stellen grundsätzlich attraktive Ziele für Angreifer dar. In diesem
Zusammenhang stehen auch Microsoft Exchange Server immer wieder im besonderen Fokus der Täter.
Da die Schwachstellen bereits aktiv von Angreifern ausgenutzt werden, besteht auch für deutsche Institutionen die
erhöhte Gefahr einer Kompromittierung.
Maßnahmen
Nutzer von Microsoft Exchange Online sind nach Aussage von Microsoft nicht betroffen.
Kunden mit On-Premise Lösungen sollten die im Microsoft-Blog aufgeführten Mitigationsmaßnahmen umsetzen,
da zum jetzigen Zeitpunkt noch kein Sicherheitsupdate bekannt ist, welches die Schwachstellen behebt. Dabei wird
eine Regel unter dem „IIS Manager -> Default Web Site -> Autodiscover -> URL Rewrite -> Actions“ erstellt, welche die
bekannten Exploits blockiert:
• IIS Manager öffnen
• „Default Web Site“ erweitern
• „Autodiscover“ auswählen
• In der Feature-Übersicht auf „URL Rewrite“ klicken
• In der Aktions-Spalte auf der rechten Seite eine neue Regel hinzufügen
• „Request Blocking“ auswählen und OK drücken
• Die Zeichenkette „.*autodiscover\.json.*\@.*Powershell.*“ (ohne Anführungszeichen) einfügen und OK drücken
• Unter „Using“ die Option „Regular Expression“ auswählen
• Die neue Regel unter „Bedingungen“ editieren
• Die Bedingung von {URL} zu {REQUEST_URI}{UrlDecode:{REQUEST_URI}} ändern
Diese Anleitung befindet sich bebildert unter [MSRC2022]. Nach Aussagen von Microsoft sind keine
Funktionseinschränkungen beim Betrieb von Exchange Server zu erwarten. Hinweise zur Erkennung einer bereits
erfolgten Kompromittierung werden ebenfalls aufgeführt.
Unabhängig von den konkreten Schutzmaßnahmen in diesem Sachverhalt sollten IT-Sicherheitsverantwortliche
stets dafür sorgen, dass die Patchstände der betriebenen Systeme aktuell sind [BSI2022]. Untermauert wird diese
Notwendigkeit auch damit, dass Microsoft Out Of Band Patches in der Vergangenheit bei ähnlichen Situationen
zunächst priorisiert für das aktuellste CU (Cumulative Update) von Exchange zur Verfügung gestellt hat.
Link zur Warnung: https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2022/2022-258168-1032.pdf?__blob=publicationFile&v=4