Aktuelles
Von:
Filter
Digital Eliteboard - Das Digitale Technik Forum

Registriere dich noch heute kostenloses um Mitglied zu werden! Sobald du angemeldet bist, kannst du auf unserer Seite aktiv teilnehmen, indem du deine eigenen Themen und Beiträge erstellst und dich über deinen eigenen Posteingang mit anderen Mitgliedern unterhalten kannst! Zudem bekommst du Zutritt zu Bereiche, welche für Gäste verwehrt bleiben

Hardware & Software Alert! Exchange Zero-Day: Microsoft korrigiert Workaround (Update)

Der von Microsoft zunächst vorgeschlagene Workaround zum Entschärfen der
Du musst dich Anmelden oder Registrieren um diesen link zusehen!
. Das Unternehmen hat jetzt einen korrigierten Workaround vorgelegt, der besser schützen soll. Administratoren sollten die angepasste Version zügig umsetzen.

Die ProxyNotShell-Zero-Day-Lücke in Exchange beschäftigt IT-Administratoren seit dem vergangenen Wochenende. Nachdem Microsoft einen Workaround angeboten hat, der in einer Request-Block-Regel in den AutoDiscover-Einstellungen bestand, haben IT-Sicherheitsforscher herausgefunden, dass sich die Regel .*autodiscover\.json.*\@.*Powershell.* einfach umgehen ließ. Das "@" mache die Regel zu speziell, erläuterte der IT-Forscher Will Dormann auf Twitter.

Anpassung vorgeschlagen​

Dormann schlug dort auch vor, die Regel anzupassen in .*autodiscover\.json.*Powershell.*. Eine Bestätigung von IT-Sicherheitsexperten, dass die angepasste Regel besser schütze, blieb zunächst jedoch aus.
Jetzt hat
Du musst dich Anmelden oder Registrieren um diesen link zusehen!
mit vorgeschlagenen Handlungsmaßnahmen angepasst und dort die Regel korrigiert, und zwar genau in die vorgeschlagene Fassung .*autodiscover\.json.*Powershell.*. Die entsprechenden Passagen hat der Hersteller überarbeitet. Zudem haben die Entwickler von Microsoft das angebotene EOMTv2-Skript zum automatisierten Ausrollen der Rewrite-Regel mit der verbesserten Regel ausgestattet.

Auch die mittels Exchange Emergency Mitigation Service (EEMS) für Exchange 2016 und 2019 automatisch verteilte Regel hat Microsoft auf den aktuellen Stand gehoben und bereits erneut verteilt. Der Hersteller schreibt, dass Administratoren die neue Regel gegebenenfalls anlegen und im Anschluss die alte, umgehbare Regel wieder löschen sollten.
Quelle: heise
 
Zum Vergrößern anklicken....
Update 06.10.22
Für Exchange-Installationen, in denen die Administratoren den Exchange Emergency Mitigation Service (EEMS) aktiviert haben, hat Microsoft bereits die erneut aktualisierte Regel verteilt. Hier müssen Administratoren also nicht aktiv werden. Ohne diesen Dienst können Admins entweder das ebenfalls angepasste EOMTv2-Skript mit Versionsnummer 22.10.05.2304 zum automatisierten Eintragen der Regel nutzen oder die Regel gänzlich manuell anlegen.

Es bleibt zu hoffen, dass das jetzige Regelwerk ohne weitere Änderungen gegen die aktiven Angriffe wirkt und dass Microsoft sehr bald ein Softwareupdate bereitstellen kann, das die Sicherheitslücken korrekt schließt.
22
Exchange-Administratoren kommen nicht zur Ruhe: Nachdem ein erster Workaround für eine aktiv angegriffene Zero-Day-Schwachstelle in Exchange nicht korrekt geschützt und
Du musst dich Anmelden oder Registrieren um diesen link zusehen!
hat, legt der Hersteller abermals eine aktualisierte Regel vor. Administratoren sollten die bisher angelegte Regel entfernen und eine neue einsetzen, rät Microsoft.

In der
Du musst dich Anmelden oder Registrieren um diesen link zusehen!
erläutert das Unternehmen, dass die neu anzulegende Request-Block-Regel für Autodiscover die Zeichenkette .*autodiscover\.json.*Powershell.* erhalten soll. Administratoren sollen die Option "Regular Expression" unter "Using" auswählen sowie für "How to block" auf "Abort Request". Neu kommt jetzt hinzu, die neu angelegte Regel auszuwählen und auf "Edit" unter "Conditions" zu klicken. Im Feld "Condition Input" sollen Administratoren die Zeichenkette {URL} in {UrlDecode:{REQUEST_URI}} ändern.

Weitere Gegenmaßnahmen​

Um besser vor den Angriffen auf die Schwachstelle zu schützen, sollten IT-Verantwortliche zudem den Remote-PowerShell-Zugriff für nicht-Administratoren deaktivieren. In der Aktualisierung weist Microsoft sehr deutlich darauf hin, dass Administratoren beide Maßnahmen, also das Anlegen der Regel und das Entziehen des Remote-PowerShell-Zugriffs, umsetzen sollen.
Für Exchange-Installationen, in denen die Administratoren den Exchange Emergency Mitigation Service (EEMS) aktiviert haben, hat Microsoft bereits die erneut aktualisierte Regel verteilt. Hier müssen Administratoren also nicht aktiv werden. Ohne diesen Dienst können Admins entweder das ebenfalls angepasste EOMTv2-Skript mit Versionsnummer 22.10.05.2304 zum automatisierten Eintragen der Regel nutzen oder die Regel gänzlich manuell anlegen.

Es bleibt zu hoffen, dass das jetzige Regelwerk ohne weitere Änderungen gegen die aktiven Angriffe wirkt und dass Microsoft sehr bald ein Softwareupdate bereitstellen kann, das die Sicherheitslücken korrekt schließt.
Quelle: heise
 

Ähnliche Themen

u040201
  • Artikel
Hardware & Software Alert! Exchange Zero-Day-Lücke: Nochmals nachgebesserter Workaround
Antworten
0
Aufrufe
511
u040201
u040201
u040201
  • Artikel
Hardware & Software Alert! Zero-Day-Attacken auf Microsoft Exchange Server – Sicherheitspatches fehlen
Antworten
0
Aufrufe
687
u040201
u040201
u040201
  • Artikel
Hardware & Software Alert! Patchday: Microsoft meldet fünf Zero-Days, teils ohne Update
Antworten
0
Aufrufe
1K
u040201
u040201
u040201
  • Artikel
Hardware & Software Alert! Patchday Microsoft: Attacken auf sechs Lücken, Exchange-Patches endlich da
Antworten
0
Aufrufe
1K
u040201
u040201
u040201
  • Artikel
Hardware & Software Alert! Patchday: Attacken auf Windows und immer noch kein Exchange-Patch in Sicht
Antworten
0
Aufrufe
960
u040201
u040201
Zurück
Oben