Achtung: Zero-Day-Angriff auf lokale Exchange Server erfolgreich

von Ricardo Holdorf
11. Oktober 2022
3 Minuten zu lesen
Autor
Ricardo Holdorf
Ehrliches Miteinander und Füreinander. Wo andere scheitern fange ich an. Denn: Es gibt kein unlösbares Szenario.
Zum Experten Profil
Teilen:

*Update - 11. Okt 20:12 Uhr

Es gibt ein neues Pattern – herausgegeben von Microsoft:

Das neue Pattern:

(?=.*autodiscover)(?=.*powershell)

*Update - 6. Okt 09:12 Uhr

Es gibt ein weiteres Update, da der letzte Workaround wieder umgangen werden kann heißt die neue Schreibweise:

{UrlDecode:{REQUEST_URI}}

Die Vorgehensweise bleibt, wie in dem Update vom 3. Oktober beschrieben, gleich.

 

Außerdem können Sie sich zukünftige mit einer WAF schützen vor solchen Angriffen schützen: Mehr Infos hier!

Nehmen Sie dazu gerne direkt Kontakt mit unserem Experten auf.

 

*Update - 3. Okt 15:34 Uhr

Nach aktuellen Erkenntnissen kann der bisherige Workaround von Angreifern umgangen werden. Vor diesem Hintergrund wird Es wird empfohlen, das RegEx-Pattern im Filter anzupassen. Bitte orientieren Sie sich ab sofort an folgender Vorgehensweise, um den IIS Webserver anzupassen – oder kontaktieren Sie uns für professionellen Support rund um die riskante Sicherheitslücke in Exchange.

Voraussetzung: IIS URL Rewrite Module

1) IIS-Manager (inetmgr) öffnen, Autodiscover-Endpunkt auswählen und URL Rewrite-Modul öffnen

2) Blockierungsregel anlegen und konfigurieren
Pattern: .*autodiscover\.json.*Powershell.*

*Update - 30. Sep 12:17 Uhr

Inzwischen hat auch das BSI eine offizielle Mitteilung herausgegeben und die Kritikalität der Schwachstellen als „hoch“ eingestuft:

  • CVSS Base Score 8.8
  • CVSS Temporal Score 8.6

Hier die offiziellen CVE-Nummern:

  • CVE-2022-41040
  • CVE-2022-41082

Die betroffenen Produkte sind demnach:

  • Microsoft Exchange Server 2016
  • Microsoft Exchange Server 2019
  • Microsoft Exchange Server 2013
Gibt es bei Ihnen Indikatoren für einen Angriff? Jetzt schnell checken mit unserem Powershell Script

Was ist passiert?

Laut übereinstimmender Expertenberichte und Warnungen auf Twitter existiert eine neue Zero-Day-Schwachstelle in Microsoft Exchange Server. Betroffen sind alle Betreiber von On-Premises Microsoft Exchange-Server-Installationen. Erste Systeme, darunter auch Honeypots, sind bereits nachweislich infiziert.

Eine Zero-Day-Schwachstelle beschreibt eine Sicherheitslücke, die innerhalb eines Tages entdeckt und erfolgreich ausgenutzt wird.

Wie kritisch ist die Sicherheitslücke?

Nach übereinstimmenden Experten-Einschätzungen ist die Sicherheitslücke als kritisch zu bewerten. Denn: Sie ermöglicht Angreifern eine Remote Code Execution (RCE) auf dem kompromittierten Zielsystem. Das heißt: Aus der Ferne können Angreifer nach Belieben Programmcode auf dem Exchange-Server ausführen. Das ist deshalb besonders heikel, weil Ihr Exchange Server eng mit dem Active Directory verflochten ist und somit Zugang zu den sensibelsten Daten Ihres Unternehmens ermöglicht.

Die Zero Day Initiative (ZDI), eine internationale Initiative für Softwareschwachstellen, hat insgesamt zwei Fehler in Bezug auf den Exploit verifiziert und bestätigt.

  • ZDI-CAN-18333 (Sicherheitsscore: CVSS 8.8)
  • ZDI-CAN-18802 (Sicherheitsscore: CVSS 6.3)

Wie kann ich mich schützen?

Nach aktuellen Erkenntnissen können Sie sich nur über eine Anpassung des IIS Webservers (aktualisierte Anleitung oben) schützen. Dazu wird ein Filter implementiert, der den Zero Day Exploit herausfiltern soll. Ein 100 prozentiger Schutz kann damit aktuell jedoch leider noch nicht sichergestellt werden.

Darüber hinaus haben Administratoren auch die Möglichkeit, den externen Zugriff aufs Autodiscover zu deaktivieren. Das hat jedoch weitreichende funktionelle Auswirkungen zur Folge, die es zu bedenken gilt. Salopp gesagt machen Sie Ihr Exchange damit von außen dicht. Das bedeutet jedoch, dass jeglicher externe Zugriff auf Exchange nicht mehr funktioniert, was auch in Hybridstellungen von Exchange zu Problemen führen kann.

Schon gewusst?
In unserem IT-Kompetenzzentrum geben wir unser Expertenwissen multimedial an Sie weiter. Ist ihr Thema nicht dabei? Melden Sie sich gerne.
Jetzt kennenlernen