Microsoft Exchange Zero-Day Schwachstelle - Systeme überprüfen und absichern!

Im August 2021 brachten die ProxyShell Schwachstellen mit den CVE-2021–34473, CVE-2021–34523 und CVE-2021–31207 einige kritische Sicherheitslücken in Microsoft Exchange zum Vorschein. Rund ein Jahr später, Ende September 2022, entdecken Sicherheitsforscher von GTSC erneut zwei potenzielle Zero-Day-Sicherheitslücken in Microsoft Exchange Servern. Die Herangehensweise ähnelt dem Vorgehen von ProxyShell vom August 2021, soll allerdings laut den Sicherheitsforschern auch auf vollständig gegen ProxyShell gepatchten Systemen erfolgreich gewesen sein. 

Im Folgenden möchten wir Ihnen weitere Informationen zu der neuen Schwachstelle geben und Ihnen auch Möglichkeiten zum Schutz mit an die Hand geben. 

• Bei diesen Schwachstellen ist erneut eine Sichtung der IIS-Logs über eine potenzielle Kompromittierung aufschlussreich. 
• Variante 1: PowerShell Command:
  Get-ChildItem -Recurse -Path <Path_IIS_Logs> -Filter "*.log" | Select-String -Pattern 'powershell.*autodiscover\.json.*\@.*200 
• Variante 2: GTSC Tool NCSE0Scanner:
  GTSC hat ein Tool erstellt, welches anhand der Exploit Signatur eine potenzielle Kompromittierung erkennt

• Im Moment liegen noch keine offiziellen Sicherheitspatches für die beiden Schwachstellen vor, wann diese zur Verfügung stehen, ist noch nicht bekannt. 
• Es gibt allerdings bereits einen Workaround, welcher die Anfragen zur Einleitung der Attacke blockieren. Weitere Informationen hierzu finden Sie im nächsten Punkt. 

(Workaround wurde am 04.10.2022 von Microsoft überarbeitet, wir haben diesen nun auch angepasst) 

1. Navigieren Sie auf Ihrem Exchange Server Frontend zum Menüpunkt „Autodiscover“, welchen Sie unter „Sites / Default Web Site) auffinden können. 
2. Wählen Sie hier den Tab „URL Rewrite“ und öffnen den Tab „Request Blocking“. 
3. Folgende Einstellungen wählen Sie wie folgt aus: 
   Block access based on: URL Path 
   Block request that: Matches the Pattern 
   Pattern (URL Path): .*autodiscover\.json.*Powershell.* 
   Using: Regular Expressions 
4. Bestätigen Sie die Änderungen mit „OK“. 
5. Abschließend werden Sie nach einem Condition input gefragt, diesen setzen Sie auf: {REQUEST_URI} 
6. Bestätigen Sie die Änderungen mit „OK“. 
7. Sie haben den Workaround erfolgreich angewandt. 

Wir empfehlen die temporäre Aktivierung des Workarounds sowie eine Überprüfung der Systeme so bald wie möglich, um weitere potenzielle Angriffe zu erkennen und zu verhindern. 

Die Sicherheitsforscher von GTSC haben am Ende ihres Blogs eine umfassende Liste von IOCs erstellt, welche bei Bedarf abgeglichen werden können. Hier klicken für mehr Informationen. 

Halten Sie alle Ihre Systeme auf einem aktuellen Stand und installieren Sie die jeweiligen Sicherheitspatches auf Servern, Clients und mobilen Endgeräten immer zeitnah.