Update #5 - 0-day Exploit Remote Code Execution in Microsoft Exchange On-Premise – Workaround verfügbar
30. September 2022
Beschreibung
Eine Kombination von zwei 0-day Schwachstellen in Microsoft Exchange On-Premise ermöglichen entfernten, authentifizierten Angreifer:innen das Ausführen von beliebigem Code. Microsoft Exchange Online ist nicht betroffen.
CVE-Nummer(n):
- CVE-2022-41040
- CVE-2022-41082
CVSS Base Score (lt. Zero Day Initiative): 8.8 und 6.3
Auswirkungen
Das Ausnutzen der Schwachstellen kann zu einer vollständigen Kompromittierung des Systems und zur Ausbreitung auf andere Systeme führen.
Betroffene Systeme
Betroffen sind alle aktuellen On-Premise Versionen von Microsoft Exchange Server.
- Exchange Server 2019 CU12 Aug22SU 15.02.1118.012 (aktuelle Version)
- Exchange Server 2016 CU23 Aug22SU 15.01.2507.012 (aktuelle Version)
- Exchange Server 2013 CU23 Aug22SU 15.00.1497.040 (aktuelle Version)
Abhilfe
Update: 03. Oktober 2022, 13:40
Microsoft hat den Eintrag für die Portsperren entfernt. Des Weiteren ist eine Möglichkeit für das Umgehen des Scripts von Microsoft für die Angriffserkennung/Verhinderung bekannt geworden. Es wird empfohlen den Remote-Powershell-Zugriff für nicht-Administrator-Accounts zu deaktivieren. Da sich die Informationen zur Abhilfe stündlich ändern können, empfehlen wir grundsätzlich jeglichen Zugriff auf von außen erreichbaren Exchange-Web-Interfaces zu sperren.
Update #2: 06. Oktober 2022, 09:30
Microsoft hat einige der vorgeschlagenen Mitigations/Workarounds erweitert, da in der ersten Version noch ein Umgehen per URL-Encoding möglich war.
Update #3: 07. Oktober 2022, 16:30
Die aktuellen Mitigations/Workarounds von Microsoft können wieder umgangen werden.
Update #4: 11. Oktober 2022, 19:15
Microsoft hat ein Update für die Mitigation-Regeln herausgegeben.
Update #5: 09. November 2022, 16:00
Microsoft hat Updates veröffentlicht.
Derzeit existieren noch keine Updates, um die Sicherheitslücke zu schließen. Als Workaround wird von Microsoft empfohlen, die ausnutzbaren Anfragen via URL Rewrite zu blockieren und die Ports HTTP:5985 und HTTPS: 5986 zu sperren, bis ein Patch verfügbar ist. Außerdem hat Microsoft Möglichkeiten zur Angriffserkennung zusammengefasst.
Hinweis
Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und dabei insbesondere auf automatische Updates zu setzen. Regelmäßige Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.
Informationsquelle(n):
Blog von Microsoft (Englisch)
https://msrc-blog.microsoft.com/2022/09/29/customer-guidance-for-reported-zero-day-vulnerabilities-in-microsoft-exchange-server/
Blog von GTSC (Englisch)
https://gteltsc.vn/blog/warning-new-attack-campaign-utilized-a-new-0day-rce-vulnerability-on-microsoft-exchange-server-12715.html
Artikel von Borncity
https://www.borncity.com/blog/2022/09/30/exchange-server-werden-ber-0-day-exploit-angegriffen-29-sept-2022/
Artikel von heise.de
https://www.heise.de/news/Warten-auf-Sicherheitsupdates-Zero-Day-Attacken-auf-Microsoft-Exchange-Server-7280460.html
Artikel von Doublepulsar.com (Englisch)
https://doublepulsar.com/proxynotshell-the-story-of-the-claimed-zero-day-in-microsoft-exchange-5c63d963a9e9
Zero Day Initiative Advisories (Englisch)
https://www.zerodayinitiative.com/advisories/upcoming/
Analyse von Microsoft (Englisch)
https://msrc-blog.microsoft.com/2022/09/29/customer-guidance-for-reported-zero-day-vulnerabilities-in-microsoft-exchange-server/
Tweet von Kevin Beaumont (Englisch)
https://twitter.com/GossiTheDog/status/1576852912877101057
Artikel von heise Security zu nachgebesserten Mitigation-Regeln
https://www.heise.de/news/Exchange-Zero-Day-Luecke-Nochmals-nachgebesserter-Workaround-7304522.html