Support: +49 (0)209 38642-22        Supportfall melden

Neue Exchange Server Zero-Day-Lücke

Ende vergangenen Monats wurde erneut eine Zero-Day-Sicherheitslücke bei Microsoft Exchange Servern aufgedeckt. In einem Blogeintrag hat das vietnamesische Cyber-Sicherheitsunternehmen GTSC die Ergebnisse einer Analyse eines Sicherheitsvorfalls zusammengefasst, die die aktive Ausnutzung zweier Schwachstellen bei Exchange Servern beschreiben.

Aufgrund der Ähnlichkeit zu den Proxy Shell-Schwachstellen, die im vergangenen Jahr aufgedeckt wurden, hat der IT-Sicherheitsexperte Kevin Beaumont die aktuelle Lücke "ProxyNotShell" getauft, was sich in den Medien durchgesetzt hat.

In Kombination ermöglichen die beiden Sicherheitslücken die Ausführung von Schadcode und die Weiterverbreitung in angeschlossene Netzwerke. Die erste Schwachstelle CVE-2022-41040 (Server-Side Request Forgery – SSRF) ermöglicht es einem angemeldeten Angreifer, sich höhere Berechtigungen zu verschaffen. Die zweite Sicherheitslücke CVE-2022-41082 (Remote Code Execution) soll dem Angreifer die Möglichkeit bieten, beliebigen Code aus der Ferne auszuführen.

Laut einer Sicherheitswarnung des BSI wurden die beiden Lücken mithilfe des Common Vulnerability Scoring System (CVSS) mit 8.8 bzw. 6.3 von 10 Punkten als "hoch" bzw. "mittel" eingestuft. Da es sich bei Komponenten der E-Mailinfrastruktur wie dem Exchange-Server grundsätzlich um attraktive Ziele für Cyberkriminelle handelt und die Schwachstellen bereits aktiv ausgenutzt werden, ohne dass von Microsoft entsprechende Patches veröffentlicht wurden, geht das BSI von einer erhöhten Gefahr für deutsche Institutionen und Unternehmen aus.

Microsoft hat in der Woche nach der Veröffentlichung mit einem Workaround reagiert. Administratoren konnten demnach Einstellungen unter Autodiscover vornehmen. Als "Condition input" soll dazu {REQUEST_URI} ausgewählt werden. Auch ein Skript, das diese Einstellungen automatisch vornimmt, wurde bereitgestellt.

Eine Möglichkeit, sich sicher vor Angriffen durch die Ausnutzung der ProxyNotShell-Lücken zu schützen, besteht darin, die Ausführung von Remote PowerShell-Zugriffen in der Exchange-Umgebung vollständig zu unterbinden. Allerdings könnte diese Vorgehensweise dazu führen, dass der eigene Zugriff unter bestimmten Umständen eingeschränkt sin könnte. Deshalb wird Administratoren dringend geraten, in den kommenden Tagen nach außerplanmäßigen Sicherheits-Patches für die Exchange Server Versionen 2013, 2016 und 2019 Ausschau zu halten. 

Unsere entsprechenden Servicekunden hatten wir im Vorfeld bereits kontaktiert, wenn Sie Fragen oder Unterstützung zu diesem Thema haben bzw. benötigen, wenden Sie sich gerne an uns.