Handlungsempfehlung zu Zero-Day-Lücken in Exchange Server
Microsoft warnt vor zwei kürzlich veröffentlichten Zero-Day-Angriffen auf Exchange Server.
Microsoft hat die CVE-2022-41040 und CVE-2022-41082 veröffentlicht, welche bereits aktiv ausgenutzt werden. Hierbei handelt es sich um zwei Exploits, durch die per HTTP-Request beliebiger Code ausgeführt werden kann.
CVE-2022-41040 – Server-Side Request Forgery (SSRF)
CVE-2022-41082 – Remote Code Execution (RCE)
Betroffen sind laut Microsoft die Exchange Server 2013, 2016 und 2019.
Da es sich um eine Zero-Day-Lücke handelt, heißt dies, dass die Schwachstelle bereits ausgenutzt wurde und Angriffe durchgeführt wurden. Aktuell ist noch kein Patch für die Lücke vorhanden, lediglich ein Workaround, der so schnell wie möglich implementiert werden sollte.
Für einen erfolgreichen Angriff wird allerdings vorausgesetzt, dass der Angreifer sich authentifiziert – d.h. es wird von mindestens einem Mail-Konto ein Login benötigt, um den Angriff starten zu können.
Microsoft hat weitere Details zur Schwachstelle und den Workaround hier zusammengefasst:
https://msrc-blog.microsoft.com/2022/09/29/customer-guidance-for-reported-zero-day-vulnerabilities-in-microsoft-exchange-server/
In vielen Fällen wird die Version von Microsoft schon auf dem Exchange-Server aktiv sein. Dies ist über die Exchange Emergency Mitigation Service (EEMS)-Schnittstelle möglich, die Microsoft kürzlich eingeführt hatte.
Des Weiteren wird von Microsoft generell empfohlen, für User ohne Admin-Rechte remote PowerShell-Zugriffe auf Exchange Server zu deaktivieren, sofern dies nicht zwingend notwendig ist. Dies ist insbesondere wichtig, da bereits demonstriert wurde, dass der Workaround von Microsoft umgangen werden kann.
Vollständige Sicherheit gegen den Exploit ist aktuell nur möglich, indem der Exchange Server nicht mehr über den https Port 443 von außen zugänglich gemacht wird.
Gerne unterstützen wir Sie bei der Analyse Ihrer Systeme und der Umsetzung von Maßnahmen. Melden Sie sich dazu bitte bei unserem Support per Mail (support@systemhaus-vorort.de) oder telefonisch (+49 271 3388460-1) und vereinbaren einen zeitnahen Termin.