Exchange Server werden über Zero-Day-Leck angegriffen
Quelle: Microsoft

Exchange Server werden über Zero-Day-Leck angegriffen

Aktuell werden Exchange Server über eine Zero-Day-Schwachstelle angegriffen. Microsoft ist über den Sachverhalt informiert, hat sich aber noch nicht dazu geäussert. Immerhin existieren Lösungen, um das Angriffsrisiko zu vermindern und Systeme auf bereits erfolgte Kompromittierung zu prüfen.
2. Oktober 2022

     

In Microsofts Exchange Server wurde eine Zero-Day-Schachstelle entdeckt, die bereits für Angriffe missbraucht wird. Wie Günter Born in seinem Blog meldet, hat Sicherheitsforscher Kevin Beaumont auf Twitter bestätigt, dass bereits eine signifikante Zahl von Exchange Servern inklusive einem Honeypot Angriffen zum Opfer gefallen seien. Microsoft sei über den Sachverhalt informiert, habe es bis anhin aber unterlassen, die Kunden zu informieren.

Entdeckt wurde die Sicherheitslücke vom vietnamesischen Security-Unternehmen GTSC. Die Schwachstelle, die auch das Ausführen von Code aus der Ferne (Remote Code Execution) ermöglicht, wurde sodann der Zero Day Initiative gemeldet, welche zwei Bugs verifizierte und mit den Gefahren-Ratings 8,8 und 6,3 versah.

Da Microsoft bis dato noch nicht reagiert hat, schlagen die Security-Experten von GTSC temporäre Massnahmen vor, um das Angriffsrisiko zu vermindern. Hierfür wird im IIS-Webserver zur Autodiscover-Site eine neue URL-Rewrite-Request-Blocking-Regel erfasst, um potentielle Angriffe abzuwehren. Als Muster für den URL-Pfad wird der String " .*autodiscover.json.*@.*Powershell.*" eingegeben und als Bedingung wird "{REQUEST_URI}" gewählt. Eine Anleitung mit Screenshots findet sich auf der Website von GTSC. Hier finden sich auch zwei Methoden, mit denen sich feststellen lässt, ob ein Exchange Server bereits kompromittiert wurde.


Update: Mittlerweile hat Microsoft die Zero-Day-Schwachstellen in Exchange bestätigt und merkt an, dass ein authentifizierter Zugriff auf den Exchange Server nötig sei, um eine der beiden Schwachstellen auszunutzen. Weiter heisst es, man arbeite bereits an einem Patch. Dazu werden dieselben Massnahmen empfohlen, die bereits GTSC veröffentlicht hat. (rd)




Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Aus welcher Stadt stammten die Bremer Stadtmusikanten?
GOLD SPONSOREN
SPONSOREN & PARTNER