Dies ist eine mobil optimierte Seite, die schnell lädt. Wenn Sie die Seite ohne Optimierung laden möchten, dann klicken Sie auf diesen Text.

Hardware & Software Alert! Exchange Zero-Day: Microsoft korrigiert Workaround (Update)

Der von Microsoft zunächst vorgeschlagene Workaround zum Entschärfen der
Du musst dich Anmelden oder Registrieren um diesen link zusehen!
. Das Unternehmen hat jetzt einen korrigierten Workaround vorgelegt, der besser schützen soll. Administratoren sollten die angepasste Version zügig umsetzen.

Die ProxyNotShell-Zero-Day-Lücke in Exchange beschäftigt IT-Administratoren seit dem vergangenen Wochenende. Nachdem Microsoft einen Workaround angeboten hat, der in einer Request-Block-Regel in den AutoDiscover-Einstellungen bestand, haben IT-Sicherheitsforscher herausgefunden, dass sich die Regel .*autodiscover\.json.*\@.*Powershell.* einfach umgehen ließ. Das "@" mache die Regel zu speziell, erläuterte der IT-Forscher Will Dormann auf Twitter.

Anpassung vorgeschlagen​

Dormann schlug dort auch vor, die Regel anzupassen in .*autodiscover\.json.*Powershell.*. Eine Bestätigung von IT-Sicherheitsexperten, dass die angepasste Regel besser schütze, blieb zunächst jedoch aus.
Jetzt hat
Du musst dich Anmelden oder Registrieren um diesen link zusehen!
mit vorgeschlagenen Handlungsmaßnahmen angepasst und dort die Regel korrigiert, und zwar genau in die vorgeschlagene Fassung .*autodiscover\.json.*Powershell.*. Die entsprechenden Passagen hat der Hersteller überarbeitet. Zudem haben die Entwickler von Microsoft das angebotene EOMTv2-Skript zum automatisierten Ausrollen der Rewrite-Regel mit der verbesserten Regel ausgestattet.

Auch die mittels Exchange Emergency Mitigation Service (EEMS) für Exchange 2016 und 2019 automatisch verteilte Regel hat Microsoft auf den aktuellen Stand gehoben und bereits erneut verteilt. Der Hersteller schreibt, dass Administratoren die neue Regel gegebenenfalls anlegen und im Anschluss die alte, umgehbare Regel wieder löschen sollten.
Quelle: heise
 
Zum Vergrößern anklicken....
Update 06.10.22
Für Exchange-Installationen, in denen die Administratoren den Exchange Emergency Mitigation Service (EEMS) aktiviert haben, hat Microsoft bereits die erneut aktualisierte Regel verteilt. Hier müssen Administratoren also nicht aktiv werden. Ohne diesen Dienst können Admins entweder das ebenfalls angepasste EOMTv2-Skript mit Versionsnummer 22.10.05.2304 zum automatisierten Eintragen der Regel nutzen oder die Regel gänzlich manuell anlegen.

Es bleibt zu hoffen, dass das jetzige Regelwerk ohne weitere Änderungen gegen die aktiven Angriffe wirkt und dass Microsoft sehr bald ein Softwareupdate bereitstellen kann, das die Sicherheitslücken korrekt schließt.
22
Exchange-Administratoren kommen nicht zur Ruhe: Nachdem ein erster Workaround für eine aktiv angegriffene Zero-Day-Schwachstelle in Exchange nicht korrekt geschützt und
Du musst dich Anmelden oder Registrieren um diesen link zusehen!
hat, legt der Hersteller abermals eine aktualisierte Regel vor. Administratoren sollten die bisher angelegte Regel entfernen und eine neue einsetzen, rät Microsoft.

In der
Du musst dich Anmelden oder Registrieren um diesen link zusehen!
erläutert das Unternehmen, dass die neu anzulegende Request-Block-Regel für Autodiscover die Zeichenkette .*autodiscover\.json.*Powershell.* erhalten soll. Administratoren sollen die Option "Regular Expression" unter "Using" auswählen sowie für "How to block" auf "Abort Request". Neu kommt jetzt hinzu, die neu angelegte Regel auszuwählen und auf "Edit" unter "Conditions" zu klicken. Im Feld "Condition Input" sollen Administratoren die Zeichenkette {URL} in {UrlDecode:{REQUEST_URI}} ändern.

Weitere Gegenmaßnahmen​

Um besser vor den Angriffen auf die Schwachstelle zu schützen, sollten IT-Verantwortliche zudem den Remote-PowerShell-Zugriff für nicht-Administratoren deaktivieren. In der Aktualisierung weist Microsoft sehr deutlich darauf hin, dass Administratoren beide Maßnahmen, also das Anlegen der Regel und das Entziehen des Remote-PowerShell-Zugriffs, umsetzen sollen.
Für Exchange-Installationen, in denen die Administratoren den Exchange Emergency Mitigation Service (EEMS) aktiviert haben, hat Microsoft bereits die erneut aktualisierte Regel verteilt. Hier müssen Administratoren also nicht aktiv werden. Ohne diesen Dienst können Admins entweder das ebenfalls angepasste EOMTv2-Skript mit Versionsnummer 22.10.05.2304 zum automatisierten Eintragen der Regel nutzen oder die Regel gänzlich manuell anlegen.

Es bleibt zu hoffen, dass das jetzige Regelwerk ohne weitere Änderungen gegen die aktiven Angriffe wirkt und dass Microsoft sehr bald ein Softwareupdate bereitstellen kann, das die Sicherheitslücken korrekt schließt.
Quelle: heise
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

  • Artikel
Hardware & Software Alert! Exchange Zero-Day-Lücke: Nochmals nachgebesserter Workaround
Antworten
0
Aufrufe
520
u040201
  • Artikel
Hardware & Software Alert! Zero-Day-Attacken auf Microsoft Exchange Server – Sicherheitspatches fehlen
Antworten
0
Aufrufe
695
u040201
  • Artikel
Hardware & Software Alert! Patchday: Microsoft meldet fünf Zero-Days, teils ohne Update
Antworten
0
Aufrufe
2K
u040201
  • Artikel
Hardware & Software Alert! Patchday Microsoft: Attacken auf sechs Lücken, Exchange-Patches endlich da
Antworten
0
Aufrufe
1K
u040201
  • Artikel
Hardware & Software Alert! Patchday: Attacken auf Windows und immer noch kein Exchange-Patch in Sicht
Antworten
0
Aufrufe
975
u040201
Menü
Anmelden
Registrieren
Für die Nutzung dieser Website sind Cookies erforderlich. Du musst diese akzeptieren, um die Website weiter nutzen zu können. Erfahre mehr…