Microsoft: Zero-Days in Exchange werden aktuell für Angriffe ausgenutzt

Vor ein paar Tagen wurden zwei Zero-Day-Schwachstellen in Microsoft Exchange Server 2013, 2016 und 2019 entdeckt. Jetzt hat Microsoft bestätigt, dass die Lücken aktuell von Angreifern in freier Wildbahn ausgenutzt werden. Abhilfemaßnahmen stehen bereit, ein Fix noch nicht.

Die Lücken sind offen, Microsoft warnt vor aktiven Attacken

Im Microsoft Security Response Center findet sich seit gestern ein Eintrag, der über den aktuellen Stand der Nachforschungen zu zwei großen Lücken in Exchange informiert. Microsoft nennt hier zunächst noch einmal die entsprechenden Codes für den Common Vulnerabilities and Exposures (CVE)-Katalog und die bekannten Angriffsvektoren:

  • Bei der ersten Sicherheitslücke, die mit CVE-2022-41040 gekennzeichnet wurde, handelt es sich um eine Server-Side Request Forgery (SSRF)-Schwachstelle
  • Die zweite Schwachstelle, die die Kennzeichnung CVE-2022-41082 trägt, ermöglicht Remotecodeausführung (RCE), wenn der Angreifer Zugriff auf PowerShell hat

Danach folgt die klare Warnung der Sicherheitsforscher: "Derzeit sind Microsoft gezielte Angriffe bekannt, bei denen die beiden Sicherheitslücken ausgenutzt werden, um in die Systeme der Benutzer einzudringen." Allerdings betont das Unternehmen auch, dass ein "authentifizierter Zugriff" auf den anfälligen Exchange-Server erforderlich ist, um eine der beiden Sicherheitslücken erfolgreich ausnutzen zu können.

Fix in Arbeit, Abhilfe verfügbar

Laut Microsoft arbeitet man aktuell an einem "beschleunigten Zeitplan" für die Veröffentlichung der erforderlichen Fehlerkorrekturen, kann aber noch keinen Termin nennen, wann der Fix zu erwarten ist. Damit sich Kunden vor den bis dahin möglichen Angriffen schützen können, verweist man auf eine Anleitung für vorläufige Abhilfemaßnahmen.

Um die Schutzmaßnahmen auf anfällige Server anzuwenden, sind die folgenden Schritte notwendig:
  • IIS-Manager öffnen
  • Standard-Website erweitern
  • Autodiscover wählen
  • In der Funktionsansicht auf URL-Rewrite klicken
  • Im Bereich "Aktionen" auf der rechten Seite auf Regeln hinzufügen klicken.
  • Request Blocking auswählen und OK klicken
  • Zeichenfolge ".*autodiscover\.json.*\@.*Powershell.*" (ohne Anführungszeichen) hinzufügen und OK klicken
  • Regel erweitern, die Regel mit dem Muster ".*autodiscover\.json.*\@.*Powershell.*" auswählen und unter Bedingungen auf Bearbeiten klicken
  • Die Bedingungseingabe von {URL} in {REQUEST_URI} ändern

Microsoft Exchange Server 2013, 2016 und 2019:  CVE-2022-41040Microsoft Exchange Server 2013, 2016 und 2019:  CVE-2022-41040Microsoft Exchange Server 2013, 2016 und 2019:  CVE-2022-41040Microsoft Exchange Server 2013, 2016 und 2019:  CVE-2022-41040

Außerdem raten Microsofts Administratoren, die folgenden Remote PowerShell-Ports zu blockieren, um die Angriffe zu verhindern:
  • HTTP: 5985
  • HTTPS: 5986

Download RogueKiller - Malware aufspüren & entfernen Download Malwarebytes Premium, Schutz vor Schadsoftware Siehe auch: Microsoft, Cloud, E-Mail, Office 365, microsoft 365, Exchange, Cloud Computing, Exchange Server, Microsoft 365 Business, Microsoft Cloud, Microsoft Exchange, Microsoft 365 für Unternehmen, Exchange online, Mailserver, Exchange Logo, Microsoft Exchange Online, Microsoft Exchange Online Logo, E-Mail Server, Cloud Hosting Microsoft, Cloud, E-Mail, Office 365, microsoft 365, Exchange, Cloud Computing, Exchange Server, Microsoft 365 Business, Microsoft Cloud, Microsoft Exchange, Microsoft 365 für Unternehmen, Exchange online, Mailserver, Exchange Logo, Microsoft Exchange Online, Microsoft Exchange Online Logo, E-Mail Server, Cloud Hosting
Diese Nachricht empfehlen


Kommentar abgeben Netiquette beachten!
Einloggen

Jetzt als Amazon Blitzangebot

Video-Empfehlungen

Tipp einsenden

❤ WinFuture unterstützen

Sie wollen online einkaufen? Dann nutzen Sie bitte einen der folgenden Links, um WinFuture zu unterstützen: Vielen Dank!