Quelle: microsoft.com (Englisch)
Zusammenfassung
Microsoft untersucht zwei gemeldete Zero-Day-Schwachstellen, die Microsoft Exchange Server 2013, 2016 und 2019 betreffen. Bei der ersten Sicherheitsanfälligkeit mit der Bezeichnung CVE-2022-41040 handelt es sich um eine SSRF-Schwachstelle (Server-Side Request Forgery), während die zweite Sicherheitsanfälligkeit mit der Bezeichnung CVE-2022-41082 Remotecodeausführung (RCE) ermöglicht, wenn der Angreifer Zugriff auf PowerShell hat.
Derzeit sind Microsoft nur wenige gezielte Angriffe bekannt, bei denen die beiden Sicherheitslücken genutzt werden, um in die Systeme der Benutzer einzudringen. Bei diesen Angriffen kann CVE-2022-41040 es einem authentifizierten Angreifer ermöglichen, CVE-2022-41082 aus der Ferne auszulösen. Es ist zu beachten, dass ein authentifizierter Zugriff auf den anfälligen Exchange Server erforderlich ist, um eine der beiden Sicherheitslücken erfolgreich auszunutzen.
Wir arbeiten an einem beschleunigten Zeitplan für die Veröffentlichung eines Fixes. Bis dahin stellen wir die nachstehenden Hinweise zur Entschärfung und Erkennung zur Verfügung, damit sich unsere Kunden vor diesen Angriffen schützen können.
Microsoft Exchange Online verfügt über Erkennungen und Abhilfemaßnahmen, um Kunden zu schützen. Microsoft überwacht auch diese bereits implementierten Erkennungen auf bösartige Aktivitäten und wird die notwendigen Maßnahmen zum Schutz der Kunden ergreifen.
Wir werden hier weiterhin Updates bereitstellen, um unsere Kunden auf dem Laufenden zu halten.
Abhilfemaßnahmen
Microsoft Exchange-Online-Kunden müssen keine Maßnahmen ergreifen. Microsoft Exchange-Kunden vor Ort sollten die folgenden Anweisungen zum Umschreiben von URLs prüfen und anwenden und die offenen Remote PowerShell-Ports blockieren.
Die derzeitige Abhilfemaßnahme besteht darin, eine Blockierungsregel in "IIS Manager -> Default Web Site -> Autodiscover -> URL Rewrite -> Actions" hinzuzufügen, um die bekannten Angriffsmuster zu blockieren.
Microsoft hat bestätigt, dass die folgenden URL-Rewrite-Anweisungen, die derzeit öffentlich diskutiert werden, erfolgreich sind, um die aktuellen Angriffsketten zu unterbrechen.
- Öffnen Sie den IIS-Manager.
- Erweitern Sie die Standard-Website.
- Wählen Sie Autodiscover.
- Klicken Sie in der Funktionsansicht auf URL Rewrite.
- Klicken Sie im Bereich Aktionen auf der rechten Seite auf Regeln hinzufügen.
- Wählen Sie Request Blocking und klicken Sie auf OK.
- Fügen Sie die Zeichenfolge ".autodiscover.json.\@.Powershell." (ohne Anführungszeichen) und klicken Sie auf OK.
- Erweitern Sie die Regel und wählen Sie die Regel mit dem Muster ".autodiscover.json.\@.Powershell." aus und klicken Sie unter Bedingungen auf Bearbeiten.
- Ändern Sie die Bedingungseingabe von {URL} in {REQUEST_URI}
Auswirkungen: Es sind keine Auswirkungen auf die Exchange-Funktionalität bekannt, wenn das URL-Rewrite-Modul wie empfohlen installiert ist.
Authentifizierte Angreifer, die auf PowerShell Remoting auf anfälligen Exchange-Systemen zugreifen können, sind in der Lage, RCE mit CVE-2022-41082 auszulösen. Das Blockieren der für Remote PowerShell verwendeten Ports kann diese Angriffe einschränken.
- HTTP: 5985
- HTTPS: 5986