Quantcast
Aktuelles
Digital Eliteboard - Das Digitale Technik Forum

Registriere dich noch heute kostenlos, um Mitglied zu werden! Sobald du angemeldet bist, kannst du auf unserer Seite aktiv teilnehmen, indem du deine eigenen Themen und Beiträge erstellst und dich über deinen eigenen Posteingang mit anderen Mitgliedern unterhalten kannst! Zudem bekommst du Zutritt zu Bereichen, welche für Gäste verwehrt bleiben

Registriere dich noch heute kostenlos, um Mitglied zu werden! Sobald du angemeldet bist, kannst du auf unserer Seite aktiv teilnehmen, indem du deine eigenen Themen und Beiträge erstellst und dich über deinen eigenen Posteingang mit anderen Mitgliedern unterhalten kannst! Zudem bekommst du Zutritt zu Bereichen, welche für Gäste verwehrt bleiben

Hardware & Software Alert! Exchange Zero-Day: Microsoft korrigiert Workaround (Update)

Der von Microsoft zunächst vorgeschlagene Workaround zum Entschärfen der Zero-Day-Lücke im Exchange-Server ließ sich leicht umgehen. Das Unternehmen hat jetzt einen korrigierten Workaround vorgelegt, der besser schützen soll. Administratoren sollten die angepasste Version zügig umsetzen.

Die ProxyNotShell-Zero-Day-Lücke in Exchange beschäftigt IT-Administratoren seit dem vergangenen Wochenende. Nachdem Microsoft einen Workaround angeboten hat, der in einer Request-Block-Regel in den AutoDiscover-Einstellungen bestand, haben IT-Sicherheitsforscher herausgefunden, dass sich die Regel .*autodiscover\.json.*\@.*Powershell.* einfach umgehen ließ. Das "@" mache die Regel zu speziell, erläuterte der IT-Forscher Will Dormann auf Twitter.

Anpassung vorgeschlagen​

Dormann schlug dort auch vor, die Regel anzupassen in .*autodiscover\.json.*Powershell.*. Eine Bestätigung von IT-Sicherheitsexperten, dass die angepasste Regel besser schütze, blieb zunächst jedoch aus.
Jetzt hat Microsoft jedoch die eigene Anleitung mit vorgeschlagenen Handlungsmaßnahmen angepasst und dort die Regel korrigiert, und zwar genau in die vorgeschlagene Fassung .*autodiscover\.json.*Powershell.*. Die entsprechenden Passagen hat der Hersteller überarbeitet. Zudem haben die Entwickler von Microsoft das angebotene EOMTv2-Skript zum automatisierten Ausrollen der Rewrite-Regel mit der verbesserten Regel ausgestattet.

Auch die mittels Exchange Emergency Mitigation Service (EEMS) für Exchange 2016 und 2019 automatisch verteilte Regel hat Microsoft auf den aktuellen Stand gehoben und bereits erneut verteilt. Der Hersteller schreibt, dass Administratoren die neue Regel gegebenenfalls anlegen und im Anschluss die alte, umgehbare Regel wieder löschen sollten.
Quelle: heise
 
Update 06.10.22
Für Exchange-Installationen, in denen die Administratoren den Exchange Emergency Mitigation Service (EEMS) aktiviert haben, hat Microsoft bereits die erneut aktualisierte Regel verteilt. Hier müssen Administratoren also nicht aktiv werden. Ohne diesen Dienst können Admins entweder das ebenfalls angepasste EOMTv2-Skript mit Versionsnummer 22.10.05.2304 zum automatisierten Eintragen der Regel nutzen oder die Regel gänzlich manuell anlegen.

Es bleibt zu hoffen, dass das jetzige Regelwerk ohne weitere Änderungen gegen die aktiven Angriffe wirkt und dass Microsoft sehr bald ein Softwareupdate bereitstellen kann, das die Sicherheitslücken korrekt schließt.
22
Exchange-Administratoren kommen nicht zur Ruhe: Nachdem ein erster Workaround für eine aktiv angegriffene Zero-Day-Schwachstelle in Exchange nicht korrekt geschützt und Microsoft ein aktualisiertes Regelwerk veröffentlichthat, legt der Hersteller abermals eine aktualisierte Regel vor. Administratoren sollten die bisher angelegte Regel entfernen und eine neue einsetzen, rät Microsoft.

In der aktualisierten Anleitung zu Gegenmaßnahmen von Microsoft erläutert das Unternehmen, dass die neu anzulegende Request-Block-Regel für Autodiscover die Zeichenkette .*autodiscover\.json.*Powershell.* erhalten soll. Administratoren sollen die Option "Regular Expression" unter "Using" auswählen sowie für "How to block" auf "Abort Request". Neu kommt jetzt hinzu, die neu angelegte Regel auszuwählen und auf "Edit" unter "Conditions" zu klicken. Im Feld "Condition Input" sollen Administratoren die Zeichenkette {URL} in {UrlDecode:{REQUEST_URI}} ändern.

Weitere Gegenmaßnahmen​

Um besser vor den Angriffen auf die Schwachstelle zu schützen, sollten IT-Verantwortliche zudem den Remote-PowerShell-Zugriff für nicht-Administratoren deaktivieren. In der Aktualisierung weist Microsoft sehr deutlich darauf hin, dass Administratoren beide Maßnahmen, also das Anlegen der Regel und das Entziehen des Remote-PowerShell-Zugriffs, umsetzen sollen.
Für Exchange-Installationen, in denen die Administratoren den Exchange Emergency Mitigation Service (EEMS) aktiviert haben, hat Microsoft bereits die erneut aktualisierte Regel verteilt. Hier müssen Administratoren also nicht aktiv werden. Ohne diesen Dienst können Admins entweder das ebenfalls angepasste EOMTv2-Skript mit Versionsnummer 22.10.05.2304 zum automatisierten Eintragen der Regel nutzen oder die Regel gänzlich manuell anlegen.

Es bleibt zu hoffen, dass das jetzige Regelwerk ohne weitere Änderungen gegen die aktiven Angriffe wirkt und dass Microsoft sehr bald ein Softwareupdate bereitstellen kann, das die Sicherheitslücken korrekt schließt.
Quelle: heise
 
Zurück
Oben