Exchange-Server werden bereits aktiv angegriffen Zwei neue Zero-Day Exploits in Microsoft Exchange Server

Von Thomas Joos

Anbieter zum Thema

Beim Microsoft Exchange Server sind zwei neue Zero-Day Sicherheitslücken aufgetaucht, die es Angreifern ermöglichen remote Code auf den Servern auszuführen. Es gibt aktuell noch keinen Patch, aber wenigstens einen Workaround, um das Problem einigermaßen im Griff zu behalten.

Zwei Zero-Day Exploits gefährden Exchange-Server! Die Schwachstellen ermöglichen eine Remotecodeausführung und sogar die komplette Übernahme des Servers.
Zwei Zero-Day Exploits gefährden Exchange-Server! Die Schwachstellen ermöglichen eine Remotecodeausführung und sogar die komplette Übernahme des Servers.
(Bild: Skórzewiak - stock.adobe.com)

In jüngster Zeit sind wieder zwei Sicherheitslücken in Exchange aufgetaucht, die als Zero-Day-Schwachstellen klassifiziert sind. Die Lücken wurden durch zwei Forscher des Security-Unternehmens GTSC aufgedeckt. Betroffen sind alle Exchange-Versionen ab Exchange Server 2013.

Microsoft warnt vor der Lücke ebenfalls in einem eigenen Blog-Beitrag. Auch hier sind Informationen zu finden, wie Exchange-Server vorübergehend geschützt werden können. Im Blogbeitrag „Analyzing attacks using the Exchange vulnerabilities CVE-2022-41040 and CVE-2022-41082“ geht Microsoft noch tiefer auf das Thema ein und auch das BSI warnt vor den Angriffen und stellt eine Anleitung zur Verfügung, wie die entsprechende URL blockiert werden kann.

Diese Lücken sind nicht theoretischer Natur, sondern werden bereits aktiv ausgenutzt. Die Forscher haben bereits einige infizierte Server gefunden und auch ein Honeypot wurde bereits erfolgreich angegriffen. Besonders gefährdet sind natürlich Exchange-Server, die direkt mit dem Internet verbunden sind und die Autodiscover-Funktion zur Verfügung stellen.

NCSE0Scanner: Security-Produkte erkennen Angriffe noch nicht, es gibt aber einen Scanner

Die meisten Security-Produkte erkennen diese Angriffe noch nicht und es gab vor einigen Tagen auch noch keine CVE-Nummer dafür. Mittlerweile wurden die beiden folgenden Nummern zugewiesen: CVE-2022-41040 und CVE-2022-41082.

Angreifer, die diese Lücken ausnutzen, können remote Code auf den Servern ausführen. Der Zugriff erfolgt dazu mit der Webshell, indem PowerShell-Autodiscover-Anfragen zum Einsatz kommen. Dadurch können Angreifer dauerhaft auf den Exchange-Server zugreifen. Ob ein Exchange-Server bereits angegriffen wurde, lässt sich in der PowerShell mit dem folgenden Befehl überprüfen:

Get-ChildItem -Recurse -Path <Path_IIS_Logs> -Filter "*.log" | Select-String -Pattern 'powershell.*autodiscover\.json.*\@.*200'

Oder

Get-ChildItem -Recurse -Path <Path_IIS_Logs> -Filter "*.log" | Select-String -Pattern 'powershell.*autodiscover\\.json.*\\@.*200'

Mit dem NCSE0Scanner lassen sich Angriffe auf Exchange entdecken.
Mit dem NCSE0Scanner lassen sich Angriffe auf Exchange entdecken.
(Bild: Joos)

Auf GitHub stellen die Forscher das Tool „NCSE0Scanner“ zur Verfügung, das erfolgreich angegriffene Server ebenfalls identifizieren kann. Dazu wird der Scanner auf dem Exchange ausgeführt und der Pfad zu den Protokolldateien eingegeben.

Workaround mit URL-Rewrite-Modul gegen Zero-Day-Lücken in Exchange

Das URL-Rewrite-Modul kann beim Blockieren des Angriffs helfen.
Das URL-Rewrite-Modul kann beim Blockieren des Angriffs helfen.
(Bild: Joos)

Der Angriff auf Exchange erfolgt über den IIS, der zwangsläufig in Exchange installiert ist. Die aktuelle Vorgehensweise zum Ausnutzen dieser Lücke lässt sich im IIS blockieren, sodass zumindest die erste Gefahr gebannt werden kann. Für einen ersten Schutz, den die Forscher selbst empfehlen, kommt das URL-Rewrite-Modul im IIS auf dem Exchange zum Einsatz. Dazu muss der String „.*autodiscover\.json.*\@.*Powershell.*“ hinzugefügt und als „Choose {REQUEST_URI}“ hinterlegt werden. Die URL-Sperre „.*autodiscover\.json.*Powershell.*“ ist weiter gefasst und bietet daher mehr Schutz:

  • 1. Wählen Sie im für Autodiscover die Registerkarte „URL Rewrite“ und dann „Request Blocking“.
  • 2. Fügen Sie die Zeichenfolge „.*autodiscover\.json.*\@.*Powershell.*“ zum URL-Pfad hinzu.
  • 3. Als Bedingung wählen Sie {REQUEST_URI}.
  • 4. Ein Neustart ist nicht notwendig, die Blockierung ist sofort aktiv.

Eine ausführlichere Anleitung ist auf der Webseite Frankys Web zu finden.

(ID:48649259)

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung