BSI: Neu­er 0‑Day Explo­it in Micro­softEx­chan­ge Server

Am 28. Sep­tem­ber ver­öf­fent­lich­te das Cyber-Sicher­heits­un­ter­neh­men GTSC einen Blog­bei­trag zu neu­en
Zero-Day Exploits in Micro­soft Exchan­ge Ser­vern [GTSC2022]. Dem­nach wur­den im Rah­men einer Ana­ly­se
eines Vor­falls Hin­wei­se auf eine akti­ve Aus­nut­zung von zwei Sicher­heits­lücken ent­deckt. Die­se waren in der
Lage, auch voll­stän­dig gepatch­te Syste­me zu kom­pro­mit­tie­ren.
Micro­soft hat hier­zu einen Bei­trag auf sei­ner Web­sei­te ver­öf­fent­licht [MSRC2022]. Dar­in wird ange­ge­ben,
dass die Schwach­stel­len eine Ser­ver-Side Requ­est For­ge­ry (CVE-2022 – 41040) sowie eine Remo­te Code
Exe­cu­ti­on (CVE-2022 – 41082) ermög­li­chen, wenn der Angrei­fer Zugriff auf PowerS­hell hat. Hier­für sei
aller­dings ein authen­ti­fi­zier­ter Zugriff auf den ver­wund­ba­ren Ser­ver nötig.
Ver­wund­bar sei­en laut Micro­soft die Micro­soft Exchan­ge Ser­ver 2013, 2016, und 2019.
Gemäß Com­mon Vul­nera­bi­li­ty Sco­ring System (CVSS) wur­den die Schwach­stel­len hin­sicht­lich ihres
Schwe­re­grads mit 8.8 bzw. 6.3 von 10 Punk­ten als “hoch” bzw. “mit­tel” ein­ge­stuft.
Update 1:
In Anleh­nung an die im ver­gan­ge­nen Jahr ent­deck­ten Sicher­heits­lücken in Micro­soft Exchan­ge wer­den
die nun bekannt gewor­de­nen Schwach­stel­len in den Sozia­len Medi­en unter dem Namen “Pro­xyNotS­hell“
dis­ku­tiert [TWIT2022a].

Bewer­tung
Kom­po­nen­ten der E‑Mailinfrastruktur stel­len grund­sätz­lich attrak­ti­ve Zie­le für Angrei­fer dar. In die­sem
Zusam­men­hang ste­hen auch Micro­soft Exchan­ge Ser­ver immer wie­der im beson­de­ren Fokus der Täter.
Da die Schwach­stel­len bereits aktiv von Angrei­fern aus­ge­nutzt wer­den, besteht auch für deut­sche Insti­tu­tio­nen die
erhöh­te Gefahr einer Kompromittierung.

Maß­nah­men
Nut­zer von Micro­soft Exchan­ge Online sind nach Aus­sa­ge von Micro­soft nicht betrof­fen.
Kun­den mit On-Pre­mi­se Lösun­gen soll­ten die im Micro­soft-Blog auf­ge­führ­ten Miti­ga­ti­ons­maß­nah­men umset­zen,
da zum jet­zi­gen Zeit­punkt noch kein Sicher­heits­up­date bekannt ist, wel­ches die Schwach­stel­len behebt. Dabei wird
eine Regel unter dem “IIS Mana­ger -> Default Web Site -> Auto­dis­co­ver -> URL Rewri­te -> Actions” erstellt, wel­che die
bekann­ten Exploits blockiert:
• IIS Mana­ger öff­nen
• “Default Web Site” erwei­tern
• “Auto­dis­co­ver” aus­wäh­len
• In der Fea­ture-Über­sicht auf “URL Rewri­te” klicken
• In der Akti­ons-Spal­te auf der rech­ten Sei­te eine neue Regel hin­zu­fü­gen
• “Requ­est Blocking” aus­wäh­len und OK drücken
• Die Zei­chen­ket­te “.*autodiscover\.json.*\@.*Powershell.*” (ohne Anfüh­rungs­zei­chen) ein­fü­gen und OK drücken
• Unter “Using” die Opti­on “Regu­lar Expres­si­on” aus­wäh­len
• Die neue Regel unter “Bedin­gun­gen” edi­tie­ren
• Die Bedin­gung von {URL} zu {REQUEST_URI}{UrlDecode:{REQUEST_URI}} ändern
Die­se Anlei­tung befin­det sich bebil­dert unter [MSRC2022]. Nach Aus­sa­gen von Micro­soft sind kei­ne
Funk­ti­ons­ein­schrän­kun­gen beim Betrieb von Exchan­ge Ser­ver zu erwar­ten. Hin­wei­se zur Erken­nung einer bereits
erfolg­ten Kom­pro­mit­tie­rung wer­den eben­falls auf­ge­führt.
Unab­hän­gig von den kon­kre­ten Schutz­maß­nah­men in die­sem Sach­ver­halt soll­ten IT-Sicher­heits­ver­ant­wort­li­che
stets dafür sor­gen, dass die Patch­stän­de der betrie­be­nen Syste­me aktu­ell sind [BSI2022]. Unter­mau­ert wird die­se
Not­wen­dig­keit auch damit, dass Micro­soft Out Of Band Patches in der Ver­gan­gen­heit bei ähn­li­chen Situa­tio­nen
zunächst prio­ri­siert für das aktu­ell­ste CU (Cumu­la­ti­ve Update) von Exchan­ge zur Ver­fü­gung gestellt hat.

Link zur War­nung: https://​www​.bsi​.bund​.de/​S​h​a​r​e​d​D​o​c​s​/​C​y​b​e​r​s​i​c​h​e​r​h​e​i​t​s​w​a​r​n​u​n​g​e​n​/​D​E​/​2​0​2​2​/​2​022 – 258168-1032.pdf?__blob=publicationFile&v=4