Exchange Server werden über 0-day Exploit angegriffen (Update)
Update:
Aufgrund der weiterhin sehr dynamischen Lage, ist unten stehender Workaround nicht länger hinreichend. Vielmehr empfiehlt Microsoft, den Zugriff auf PowerShell für Nicht-Administratoren zu deaktivieren. Umsetzungshinweise hierzu hat Microsoft unter [MSRC2022a] veröffentlicht.
IT-Sicherheitsverantwortliche sollten [MSRC2022] regelmäßig prüfen, da auch weitere Updates in den kommenden
Tagen nicht ausgeschlossen werden können.
Gerne unterstützen wir Sie im Rahmen unseres Incident Response Prozesses und informieren Sie bei neuen Entwicklungen.
Es wurde eine bisher unbekannte Schwachstelle (Zero-Day) gefunden, die sich als so kritisch erwies, dass sie Angreifern eine Remote Code Execution (RCE) auf dem kompromittierten Zielsystem ermöglicht. GTSC meldete die Schwachstelle sofort an die Zero Day Initiative (ZDI), um mit Microsoft zusammenzuarbeiten. Ziel war es, schnellstmöglich einen Patch zu erstellen. Die Zero Day Initiative (ZDI) hat 2 Fehler mit den CVSS-Scores 8.8 und 6.3 in Bezug auf den Exploit verifiziert und bestätigt.
ZDI-CAN-18333 CVSS 8.8
ZDI-CAN-18802 CVSS 6.3
Nach Tests konnte bestätigt werden, dass bereits Systeme über diese 0-Day-Schwachstelle angegriffen wurden.
Quelle: borncity
Weitere Information des Herstellers Microsoft:
Betroffene Systeme: OnPremise Microsoft Exchange Server (inkl. hybrider Umgebungen)
Workarounds:
Wählen Sie im FrontEnd in Autodiscover die Registerkarte URL Rewrite und dann Request Blocking
Fügen Sie die Zeichenfolge “.*autodiscover\.json.*\@.*Powershell.*” zum URL-Pfad hinzu
Als Bedingung ist {REQUEST_URI} zu wählen
Darüber hinaus empfiehlt es sich u.U. den Exchange nach außen ausschließlich per SMTP kommunizieren zu lassen. Bei Unklarheiten oder Rückfragen, wenden Sie sich jederzeit an uns.
