Microsoft veröffentlicht Advisory für zwei 0-Day-Schwachstellen in Exchange Server, noch kein Patch

Microsoft Exchange Server kann einfach nicht aufhören. Im vergangenen Jahr warnte das Unternehmen vor weit verbreiteten Angriffen auf lokale Server und beeilte sich über mehrere Wochen, detaillierte Maßnahmen zu ihrer Bewältigung und Sicherheitsupdates zu veröffentlichen. Nun scheint die Software erneut mit zwei 0-Day-Schwachstellen angegriffen worden zu sein .

Exchange Online Kunden sind davon wie üblich nicht betroffen und müssen nichts unternehmen. Die Schwachstellen betreffen lokale Installationen von Exchange Server 2013, 2016 und 2019.

Die beiden Schwachstellen sind mit CVE-2022-41040 bzw. CVE-2022-41082 gekennzeichnet. Ersteres ist eine Server Side Request Forgery (SSRF)-Schwachstelle, während letzteres es einem Angreifer ermöglicht, Remote Code Execution (RCE)-Angriffe über PowerShell durchzuführen. Ein Angreifer benötigt jedoch einen authentifizierten Zugriff auf den Exchange-Server, um eine der beiden Schwachstellen auszunutzen.

Da es noch keinen Fix gibt, ging Microsoft verständlicherweise nicht auf die Details der Angriffskette ein. Er bemerkte jedoch mehrere Abschwächungen, darunter das Hinzufügen einer Blockierregel zu den URL-Umschreibungsanweisungen und das Blockieren der Ports 5985 (HTTP) und 5986 (HTTPS), die von Remote PowerShell verwendet werden.

Leider gibt es keine spezifischen Suchen nach Microsoft Sentinel, und Microsoft Defender for Endpoint kann nur Post-Exploitation-Aktivitäten erkennen, zu denen auch die Erkennung von „ Chopper “-Webshell-Malware gehört, die bei „In-the-Wild“-Angriffen gefunden wurde. Microsoft hat seinen Kunden versichert, dass es an einem „Fast Track“ für den Fix arbeitet, muss aber noch ein vorläufiges Veröffentlichungsdatum für den Fix bekannt geben. Weitere Informationen zur Risikominderung und 0-Day-Schwachstellenerkennung finden Sie hier .