Microsoft Exchange Zero-Day Schwachstelle - Systeme überprüfen und absichern!
Pascal Asch / 30. September 2022Im August 2021 brachten die ProxyShell Schwachstellen mit den CVE-2021–34473, CVE-2021–34523 und CVE-2021–31207 einige kritische Sicherheitslücken in Microsoft Exchange zum Vorschein. Rund ein Jahr später, Ende September 2022, entdecken Sicherheitsforscher von GTSC erneut zwei potenzielle Zero-Day-Sicherheitslücken in Microsoft Exchange Servern. Die Herangehensweise ähnelt dem Vorgehen von ProxyShell vom August 2021, soll allerdings laut den Sicherheitsforschern auch auf vollständig gegen ProxyShell gepatchten Systemen erfolgreich gewesen sein.
Im Folgenden möchten wir Ihnen weitere Informationen zu der neuen Schwachstelle geben und Ihnen auch Möglichkeiten zum Schutz mit an die Hand geben.
Wer ist potenziell davon betroffen?
- Alle Kund:innen mit nach extern veröffentlichten Exchange OnPrem Servern mit Autodiscover sind potenziell betroffen
Wie wird die Schwachstelle eingestuft?
- Eine CVE-Nummer steht zum aktuellen Zeitpunkt noch nicht zur Verfügung
- Die Zero Day Initiative (ZDI) stuft die beiden Sicherheitslücken mit einem CVSS-Score von 8.8 und 6.3 ein
Wo finde ich Hinweise auf eine mögliche Kompromittierung?
- Bei diesen Schwachstellen ist erneut eine Sichtung der IIS-Logs über eine potenzielle Kompromittierung aufschlussreich.
- Variante 1: PowerShell Command:
Get-ChildItem -Recurse -Path <Path_IIS_Logs> -Filter "*.log" | Select-String -Pattern 'powershell.*autodiscover\.json.*\@.*200 - Variante 2: GTSC Tool NCSE0Scanner:
GTSC hat ein Tool erstellt, welches anhand der Exploit Signatur eine potenzielle Kompromittierung erkennt
Was kann ich machen, um mein Unternehmen zu schützen?
- Im Moment liegen noch keine offiziellen Sicherheitspatches für die beiden Schwachstellen vor, wann diese zur Verfügung stehen, ist noch nicht bekannt.
- Es gibt allerdings bereits einen Workaround, welcher die Anfragen zur Einleitung der Attacke blockieren. Weitere Informationen hierzu finden Sie im nächsten Punkt.
Workaround zum Schutz vor der Sicherheitslücke:
(Workaround wurde am 04.10.2022 von Microsoft überarbeitet, wir haben diesen nun auch angepasst)
- Navigieren Sie auf Ihrem Exchange Server Frontend zum Menüpunkt „Autodiscover“, welchen Sie unter „Sites / Default Web Site) auffinden können.
- Wählen Sie hier den Tab „URL Rewrite“ und öffnen den Tab „Request Blocking“.
- Folgende Einstellungen wählen Sie wie folgt aus:
Block access based on: URL Path
Block request that: Matches the Pattern
Pattern (URL Path): .*autodiscover\.json.*Powershell.*
Using: Regular Expressions - Bestätigen Sie die Änderungen mit „OK“.
- Abschließend werden Sie nach einem Condition input gefragt, diesen setzen Sie auf: {REQUEST_URI}
- Bestätigen Sie die Änderungen mit „OK“.
- Sie haben den Workaround erfolgreich angewandt.
Wir empfehlen die temporäre Aktivierung des Workarounds sowie eine Überprüfung der Systeme so bald wie möglich, um weitere potenzielle Angriffe zu erkennen und zu verhindern.
Wo finde ich Informationen zu Indicators of Compromise?
Die Sicherheitsforscher von GTSC haben am Ende ihres Blogs eine umfassende Liste von IOCs erstellt, welche bei Bedarf abgeglichen werden können. Hier klicken für mehr Informationen.
Was kann ich allgemein machen?
Halten Sie alle Ihre Systeme auf einem aktuellen Stand und installieren Sie die jeweiligen Sicherheitspatches auf Servern, Clients und mobilen Endgeräten immer zeitnah.
Sie benötigen Unterstützung bei der Absicherung oder Überprüfung Ihrer Systeme?
Wir unterstützen Sie bei Rückfragen sehr gerne, wenden Sie sich hierzu gerne per E-Mail oder Telefon an unseren Support und teilen uns Ihr Anliegen mit. Unsere Kolleg:innen werden mit Ihnen die weiteren Schritte besprechen und die entsprechenden Maßnahmen durchführen.
Jetzt Kontakt aufnehmen