Exchange Server werden über 0-day Exploit angegriffen (Update)

Update:

Aufgrund der weiterhin sehr dynamischen Lage, ist unten stehender Workaround nicht länger hinreichend. Vielmehr empfiehlt Microsoft, den Zugriff auf PowerShell für Nicht-Administratoren zu deaktivieren. Umsetzungshinweise hierzu hat Microsoft unter [MSRC2022a] veröffentlicht.

IT-Sicherheitsverantwortliche sollten [MSRC2022] regelmäßig prüfen, da auch weitere Updates in den kommenden
Tagen nicht ausgeschlossen werden können.

BSI Sicherheitswarnung

Gerne unterstützen wir Sie im Rahmen unseres Incident Response Prozesses und informieren Sie bei neuen Entwicklungen.

Es wurde eine bisher unbekannte Schwachstelle (Zero-Day) gefunden, die sich als so kritisch erwies, dass sie Angreifern eine Remote Code Execution (RCE) auf dem kompromittierten Zielsystem ermöglicht. GTSC meldete die Schwachstelle sofort an die Zero Day Initiative (ZDI), um mit Microsoft zusammenzuarbeiten. Ziel war es, schnellstmöglich einen Patch zu erstellen. Die Zero Day Initiative (ZDI) hat 2 Fehler mit den CVSS-Scores 8.8 und 6.3 in Bezug auf den Exploit verifiziert und bestätigt.

ZDI-CAN-18333 CVSS 8.8
ZDI-CAN-18802 CVSS 6.3

Nach Tests konnte bestätigt werden, dass bereits Systeme über diese 0-Day-Schwachstelle angegriffen wurden.

Quelle: borncity

Exchange Server werden über 0-day Exploit angegriffen (29. Sept. 2022) | Borns IT- und Windows-Blog (borncity.com)

Weitere Information des Herstellers Microsoft:

Customer Guidance for Reported Zero-day Vulnerabilities in Microsoft Exchange Server – Microsoft Security Response Center

Betroffene Systeme: OnPremise Microsoft Exchange Server (inkl. hybrider Umgebungen)

Workarounds:

Wählen Sie im FrontEnd in Autodiscover die Registerkarte URL Rewrite und dann Request Blocking

Fügen Sie die Zeichenfolge “.*autodiscover\.json.*\@.*Powershell.*” zum URL-Pfad hinzu

Als Bedingung ist {REQUEST_URI} zu wählen

Darüber hinaus empfiehlt es sich u.U. den Exchange nach außen ausschließlich per SMTP kommunizieren zu lassen. Bei Unklarheiten oder Rückfragen, wenden Sie sich jederzeit an uns.

Ihr Ansprechpartner

Pascal Gaertig