WeBLOG
Zero-Day-Lücke in MS-Exchange Server (Update 09.11.2022)
02.10.2022:

Angreifer nutzen derzeit zwei Zero-Day-Lücken in Microsoft Exchange Server (Versionen 2013, 2016 und 2019) über Exploits aus. Dies wurde bereits am letzten Freitag (30.09.2022) bekannt. Es sind auch Systeme betroffen, die bereits gegen die ProxyShell-Schwachstelle aus 2021 voll abgesichert sind.
Offenbar ist es möglich, eine Komponente im Backend des Servers anzusprechen und darüber Code auszuführen, um das System zu übernehmen bzw. weiteren Schadcode auszuführen. Auch dient die erfolgreiche Attacke als Ausgangspunkt zur Ausbreitung auf weitere Systeme.

Microsoft hat schnell reagiert und nun ein Shell-Script veröffentlicht, welches den empfohlenen Workaround zur Absicherung einspielt.

Exchange-Betreiber können das Script bei Mircrosoft herunterladen und sollten es auf jedem betroffenen On-Premise-Server zum Einsatz bringen. Auch über Microsofts Exchange Server Emergency Mitigation Service (EMS) wird der Workaround inzwischen angeboten.



Update 04.10.2022:

Wie jetzt bekannt wurde, ist der von Microsoft angebotene Workaround nicht ausreichend, um die Lücke zu schliessen. Trotz dessen Umsetzung können Angreifer immer noch Exchange-Server kompromittieren.

Als vorübergehenden Schutz empfiehlt Microsoft Administratoren den Zugang zur PowerShell aus dem Netz nur für Nutzer mit Adminrechten zuzulassen. Hierzu hat MS eine Anleitung veröffentlicht. D.h. einen wirklich sicheren Patch für die Schwachstelle gibt es momentan nicht.

Zu den Überstunden vom Wochenende kommen jetzt noch einige hinzu :-(.

Wir bleiben dran und berichten, sobald ein Patch vorliegt.



Update 05.10.2022:

Microsoft liefert nun eine korrigierte Fassung des Workarounds zum Entschärfen der Lücke. Die Regel wurde dahingehend angepasst:



Auch die über Exchange Emergency Mitigation Service (EEMS) für Exchange 2016 und 2019 automatisch verteilte Regel hat Microsoft auf den aktuellen Stand gehoben und bereits korrigiert veröffentlicht. Microsoft schreibt, dass Administratoren die neue Regel anlegen und im Anschluss die alte, umgehbare Regel wieder löschen sollen.

Das EOMTv2-Skript zum automatisierten Ausrollen der Rewrite-Regel wurde ebenfalls mit der verbesserten Regel ausgestattet.

Es ist aber leider nicht davon auszugehen, dass diese Vorgehensweise final ist, sondern nur besser schützt.



Update 06.10.2022:

Wie vermutet wurde seitens Microsoft erneut nachgebessert wie im aktualisierten Regelwerk zu lesen ist.

Neu ist jetzt hinzugekommen, die neu angelegte Regel auszuwählen und auf "Edit" unter "Conditions" zu klicken. Im Feld "Condition Input" sollen Administratoren die Zeichenkette {URL} in {UrlDecode:{REQUEST_URI}} ändern.

Zusätzlich soll wie oben erwähnt (Update 04.10.) der Remote-PowerShell-Zugriff für nicht-Administratoren deaktiviert werden.

Hoffen wir mal, dass die jetzigen Regeln gegen die aktive Angriffe wirken und dass zeitnah ein Update bereitgestellt wird, welches die Sicherheitslücken korrekt und final schliesst.



Update 10.10.2022:

So langsam ist das Ganze Realsatire. Microsoft hat erneut nachgebessert:

Die derzeit aktuelle Regel lautet jetzt (?=.*autodiscover)(?=.*powershell). Administratoren sollen das als Request-Block-Regel für Autodiscover anlegen und die Option "Regular Expression" unter "Using" auswählen.

Für "How to block" sollen sie die Einstellung auf "Abort Request" setzen.

Abschliessend sollen Admins die neu angelegte Regel auswählen und auf "Edit" unter "Conditions" klicken. Im Feld "Condition Input" sollen sie die Zeichenkette {URL} in {UrlDecode:{REQUEST_URI}} ändern.

Zusätzlich soll wie oben erwähnt (Update 04.10.) der Remote-PowerShell-Zugriff für nicht-Administratoren deaktiviert werden.

Nähere Erklärungen, was an der vorhergehenden Regel unzureichend war, liefert MS leider nicht. Auch ist unklar, ob zum monatlichen Patchday (am Abend des 11.10.2022) ein finales Update zum Schliessen der Schwachstelle bereitgestellt wird. Dann wären es keine Zero-Lücken mehr.



Update 09.11.2022:

Mit dem gestrigen Microsoft-November-Patchday wurden endlich die finalen Sicherheitspatches für die Exchange-Schwachstellen veröffentlicht und sollten zeitnah/sofort installiert werden. Probleme damit konnten wir - auf den von uns betreuten Servern (Versionen 2016 und 2019) - bisher nicht feststellen. Sowohl die Installation lief ohne Überraschungen als auch der laufende Betrieb zeigt bisher keine Auffälligkeiten.

Kommentieren