Achtung: Zero-Day-Angriff auf lokale Exchange Server erfolgreich

Es gibt ein neues Pattern – herausgegeben von Microsoft:

Das neue Pattern:

(?=.*autodiscover)(?=.*powershell)

Es gibt ein weiteres Update, da der letzte Workaround wieder umgangen werden kann heißt die neue Schreibweise:

{UrlDecode:{REQUEST_URI}}

Die Vorgehensweise bleibt, wie in dem Update vom 3. Oktober beschrieben, gleich.

Außerdem können Sie sich zukünftige mit einer WAF schützen vor solchen Angriffen schützen: Mehr Infos hier!

Nehmen Sie dazu gerne direkt Kontakt mit unserem Experten auf.

Nach aktuellen Erkenntnissen kann der bisherige Workaround von Angreifern umgangen werden. Vor diesem Hintergrund wird Es wird empfohlen, das RegEx-Pattern im Filter anzupassen. Bitte orientieren Sie sich ab sofort an folgender Vorgehensweise, um den IIS Webserver anzupassen – oder kontaktieren Sie uns für professionellen Support rund um die riskante Sicherheitslücke in Exchange.

Voraussetzung: IIS URL Rewrite Module

1) IIS-Manager (inetmgr) öffnen, Autodiscover-Endpunkt auswählen und URL Rewrite-Modul öffnen

2) Blockierungsregel anlegen und konfigurieren
Pattern: .*autodiscover\.json.*Powershell.*

Inzwischen hat auch das BSI eine offizielle Mitteilung herausgegeben und die Kritikalität der Schwachstellen als „hoch“ eingestuft:

• CVSS Base Score 8.8
• CVSS Temporal Score 8.6

Hier die offiziellen CVE-Nummern:

• CVE-2022-41040
• CVE-2022-41082

Die betroffenen Produkte sind demnach:

• Microsoft Exchange Server 2016
• Microsoft Exchange Server 2019
• Microsoft Exchange Server 2013

Laut übereinstimmender Expertenberichte und Warnungen auf Twitter existiert eine neue Zero-Day-Schwachstelle in Microsoft Exchange Server. Betroffen sind alle Betreiber von On-Premises Microsoft Exchange-Server-Installationen. Erste Systeme, darunter auch Honeypots, sind bereits nachweislich infiziert.

Eine Zero-Day-Schwachstelle beschreibt eine Sicherheitslücke, die innerhalb eines Tages entdeckt und erfolgreich ausgenutzt wird.

Nach übereinstimmenden Experten-Einschätzungen ist die Sicherheitslücke als kritisch zu bewerten. Denn: Sie ermöglicht Angreifern eine Remote Code Execution (RCE) auf dem kompromittierten Zielsystem. Das heißt: Aus der Ferne können Angreifer nach Belieben Programmcode auf dem Exchange-Server ausführen. Das ist deshalb besonders heikel, weil Ihr Exchange Server eng mit dem Active Directory verflochten ist und somit Zugang zu den sensibelsten Daten Ihres Unternehmens ermöglicht.

Die Zero Day Initiative (ZDI), eine internationale Initiative für Softwareschwachstellen, hat insgesamt zwei Fehler in Bezug auf den Exploit verifiziert und bestätigt.

• ZDI-CAN-18333 (Sicherheitsscore: CVSS 8.8)
• ZDI-CAN-18802 (Sicherheitsscore: CVSS 6.3)

Nach aktuellen Erkenntnissen können Sie sich nur über eine Anpassung des IIS Webservers (aktualisierte Anleitung oben) schützen. Dazu wird ein Filter implementiert, der den Zero Day Exploit herausfiltern soll. Ein 100 prozentiger Schutz kann damit aktuell jedoch leider noch nicht sichergestellt werden.

Darüber hinaus haben Administratoren auch die Möglichkeit, den externen Zugriff aufs Autodiscover zu deaktivieren. Das hat jedoch weitreichende funktionelle Auswirkungen zur Folge, die es zu bedenken gilt. Salopp gesagt machen Sie Ihr Exchange damit von außen dicht. Das bedeutet jedoch, dass jeglicher externe Zugriff auf Exchange nicht mehr funktioniert, was auch in Hybridstellungen von Exchange zu Problemen führen kann.