Für den Exchange Server sind zwei weitere Zero-Day-Schwachstellen erkannt worden.
veröffentlicht: 30.09.2022
zuletzt aktualisiert: 10.10.2022 08:50 Uhr
(Aktualisierungen sind innerhalb des Textes gekennzeichnet (grün markiert oder durchgestrichen))
Um was geht es?
Für den Exchange Server sind ein weiteres Mal zwei Zero-Day-Schwachstellen (CVE-2022-41040 und CVE-2022-41082) bekannt geworden [1,2]. Diese Schwachstellen erlauben es Angreifern unter anderem mittels einer RCE (Remote Code Execution) beliebigen Code auf einem betroffenen Exchange Server auszuführen. Dabei werden die beiden Zero Days kombiniert, ähnlich wie bei der bekannten ProxyShell-Schwachstelle, um die chinesische Chopper-Web-Shell auf betroffenen Servern zu installieren. Über diese Hintertür können Daten gestohlen oder das Netzwerk weiter infiltriert und kompromittiert werden. Zurzeit wird vermutet, dass es sich um eine chinesische Angriffsgruppe handelt.
Wichtig zu beachten
Es ist ein authentifizierter Zugriff auf den anfälligen Exchange Server erforderlich, um eine der beiden Sicherheitslücken erfolgreich auszunutzen.
Wer ist betroffen?
Es ist noch nicht bekannt, welche Versionen des Exchange Server betroffen sind. Es konnte jedoch festgestellt werden, dass die bekannten kompromittierten Systeme über die neusten Sicherheitsupdates verfügten. Es wird auch davon ausgegangen, dass Systeme nicht betroffen sind, wenn Microsoft Exchange nicht On-Premise installiert ist und die Outlook Web App nicht mit dem Internet verbunden ist.
[Aktualisierung 05.10.2022 09:00 Uhr] Betroffen sind Exchange Server 2013, 2016 und 2019, jedoch nicht Exchange Online.
Was sollte getan werden?
[Aktualisierung 05.10.2022 09:00] Microsoft hat den veröffentlichten Workaround angepasst, da die erste Version leicht umgegangen werden konnte.
Bis Microsoft Security Updates veröffentlicht, steht eine vorübergehende Abhilfemassnahme bereit. Diese sollte von allen Organisationen / Unternehmen, die Microsoft Exchange Server verwenden, angewendet werden (siehe auch [1]):
- In Autodiscover im FrontEnd, Tab «URL Rewrite» und anschliessend «Request Blocking» auswählen.
- [Aktualisierung 10.10.2022 08:50] String«(?=.*autodiscover)(?=.*powershell)» zum URL-Pfad hinzufügen.
Add string “.*autodiscover\.json.*\@.*Powershell.*“ to the URL Path. - «Condition input»: {REQUEST_URI} auswählen.
[Aktualisierung 05.10.2022 09:00] Zudem muss der Remote-PowerShell-Zugriff für Nicht-Administratoren deaktiviert werden.
Blockieren von exponierten Remote PowerShell-Ports
HTTP: 5985HTTPS: 5986
Um zu prüfen, ob bereits eine Kompromittierung vorliegt, können die folgenden zwei Methoden angewendet werden:
- Ausführen eines PowerShell-Befehls:
Get-ChildItem -Recurse -Path <Path_IIS_Logs> -Filter "*.log" | Select-String -Pattern 'powershell.*autodiscover\.json.*\@.*200
- Von GTSC bereitgestelltes Tool verwenden (nicht getestet): GitHub – ncsgroupvn/NCSE0Sanner
[Aktualisierung 05.10.2022 09:00] Ausserdem sollten Exchange Server nicht unbeabsichtigt und ungesichert über das Internet erreichbar sein.
Autorin
Melanie Kubli studierte Information & Cyber Security an der Hochschule Luzern und schloss im Sommer 2022 den Bachelor mit Schwerpunkt Digital Forensic & Incident Response ab. Während ihres Studiums arbeitete sie ein Jahr lang als Werkstudentin bei der Siemens Schweiz AG. Parallel dazu schrieb sie ihre Bachelorarbeit zum Thema Cyber Security in der Supply Chain. Seit August 2022 ist Melanie Kubli als Digital Forensics & Incident Response Specialist bei Oneconsult tätig. Sie besitzt eine «Blue Team Level 1»-Zertifizierung.
Quellen
[4] – https://success.trendmicro.com/dcx/s/solution/000291651?language=en_US
[7] – Remote-Code-Execution-Schwachstelle in Windows 10 und Windows Server – CVE-2021-31166
[8] – Remote-Code-Execution-Schwachstelle (RCE) in bekannter Java-Bibliothek – CVE-2021-44228
[9] – Update: Remote-Code-Execution-Schwachstelle (RCE) in bekannter Java-Bibliothek – CVE-2021-44228
[10] – VMware vCenter Server Remote Code Execution-Schwachstelle – CVE-2021-21972
