Sicherheitsforscher warnen, dass Angreifer derzeit zwei Zero-Day-Lücken in Microsoft Exchange Server ausnutzen. Sicherheitsupdates sind bislang nicht verfügbar. Es gibt aber einen Workaround.
Mittlerweile haben weitere Sicherheitsforscher, darunter auch Trend Micros Zero Day Initiative (ZDI), die Lücken und Attacken bestätigt. Microsoft hat bislang keine Stellung bezogen.
UPDATE30.09.2022 11:02 Uhr
Mittlerweile hat Microsoft die Sicherheitslücken (CVE-2022-41040, CVE-2022-41082) bestätigt.
Details zu den Sicherheitslücken sind bislang kaum verfügbar. CVE-Nummern sind zum jetzigen Zeitpunkt nicht vergeben. Die ZDI stuft die Lücken mit einem CVSS Score von 8.8 (
UPDATE30.09.2022 09:44 Uhr
Den Sicherheitsforschern zufolge fanden die dokumentierten Attacken auf Systemen statt, die vollständig gegen ProxyShell gepatcht sind.
.*autodiscover\.json.*\@.*Powershell.*
im URL Path erstellen. Als Condition input müssen sie {REQUEST_URI} wählen.
Mit folgendem PowerShell-Kommando können Admins prüfen, ob Server bereits kompromittiert sind.
Get-ChildItem -Recurse -Path <Path_IIS_Logs> -Filter "*.log" | Select-String -Pattern 'powershell.*autodiscover\.json.*\@.*200'
Quelle: heise
Schadcode-Attacken
Auf die Attacken sind Sicherheitsforscher von GTSC gestoßen.Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
. Ihnen zufolge sollen Angreifer aus dem chinesischen Umfeld Exchange Server erfolgreich attackieren und sich über Hintertüren in Systemen einnisten. Nach erfolgreichen Attacken sei die Ausführung von Schadcode möglich. Außerdem diene die erarbeitete Position als Ausgangspunkt zur Ausbreitung in weitere Systeme.Mittlerweile haben weitere Sicherheitsforscher, darunter auch Trend Micros Zero Day Initiative (ZDI), die Lücken und Attacken bestätigt. Microsoft hat bislang keine Stellung bezogen.
UPDATE30.09.2022 11:02 Uhr
Mittlerweile hat Microsoft die Sicherheitslücken (CVE-2022-41040, CVE-2022-41082) bestätigt.
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
spricht der Konzern von "begrenzten gezielten Attacken". Online-Kunden von Exchange sollen nicht betroffen sein.
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
, wie Premises-Kunden ihre Server absichern können.Details zu den Sicherheitslücken sind bislang kaum verfügbar. CVE-Nummern sind zum jetzigen Zeitpunkt nicht vergeben. Die ZDI stuft die Lücken mit einem CVSS Score von 8.8 (
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
und 6.3 (
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
) ein. Attacken sollen ähnlich wie bei
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
im Sommer 2021 ablaufen.UPDATE30.09.2022 09:44 Uhr
Den Sicherheitsforschern zufolge fanden die dokumentierten Attacken auf Systemen statt, die vollständig gegen ProxyShell gepatcht sind.
Server absichern
Wann Sicherheitspatches erscheinen, ist noch unklar. Um Systeme aber jetzt schon zu schützen,Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
, um Anfragen zum Einleiten der Attacke zu blocken. Dafür müssen Admins unter Autodiscover im Tab URL Rewrite eine Request-Blocking-Regel mit dem Inhalt.*autodiscover\.json.*\@.*Powershell.*
im URL Path erstellen. Als Condition input müssen sie {REQUEST_URI} wählen.
Mit folgendem PowerShell-Kommando können Admins prüfen, ob Server bereits kompromittiert sind.
Get-ChildItem -Recurse -Path <Path_IIS_Logs> -Filter "*.log" | Select-String -Pattern 'powershell.*autodiscover\.json.*\@.*200'
Quelle: heise