Updates am Ende des Artikels
Microsoft hat am 30.09.2022
gleich zwei Sicherheitsanfälligkeiten zu veröffentlichten Zero-Day-Angriffen auf Exchange Server publiziert. Konkret handelt es sich um eine Sicherheitsanfälligkeit in Microsoft Exchange Server bezüglich Remotecodeausführung sowie um eine Weitere bezüglich Rechteerweiterungen. Microsoft kommuniziert diese unter
CVE 2022 41082 sowie
CVE 2022 41040.
Durch das Ausnutzen der Sicherheitslücke CVE 2022 41040 können sich Angreifer durch bestimmte Anfragen Zugriff verschaffen, wodurch in Kombination mit der Sicherheitslücke CVE 2022 41082 die Ausführung von Schadcode ermöglicht wird.
Der Angriffsversuche erfolgen nach einem ähnlichen Muster, wie bei ProxyShell im Sommer 2021, woraufhin Microsoft mit dem Emergency Mitigation Service (EMS) reagiert hatte. Sie soll beim Auftreten von kritischen Schwachstellen automatisch Sofortmaßnahmen umsetzen. Diese können die Bedrohung reduzieren, aber auch Exchange-Features deaktivieren.
Durch eine entsprechende Regel im IIS lässt sich der Angriff, welcher nach einem bestimmten Muster vorgeht, blockieren. Administratoren, welche die EMS bereits installiert haben, brauchen die folgende Regel nicht einzeln konfigurieren, da die EMS bereits hier diese Aufgabe übernehmt. Sollten Sie in Ihrer Umgebung bisher kein EMS installiert und aktiviert haben, stellt Microsoft ein
Script für die Schritte der URL-Rewrite-Abschwächung bereit.
Folgende manuellen Konfigurationen führen zum selben Resultat:
Updates (in rot) bis zum 10.10 berücksichtigt
- IIS-Manager öffnen
- Wählen Sie Standard-Website
- Klicken Sie in der Funktionsansicht auf URL Rewrite
- Klicken Sie im Bereich "Aktionen" auf der rechten Seite auf Regel(n) hinzufügen
- Wählen Sie Request Blocking und klicken Sie auf OK
- Fügen Sie die Zeichenfolge "(?=.*autodiscover\.json)(?=.*powershell)" hinzu (ohne Anführungszeichen)
-
Wählen Sie Regular Expression unter Using
- Wählen Sie Abort Request unter How to block und klicken Sie dann auf OK
- Erweitern Sie die Regel und wählen Sie die Regel mit dem Muster:
(?=.*autodiscover\.json)(?=.*powershell) und klicken Sie auf Bearbeiten unter Bedingungen
- Ändern Sie die Bedingungseingabe von {URL} in {UrlDecode:{REQUEST_URI}} und klicken Sie anschließend auf OK
Der bekannte IT-Sicherheitsexperte Kevin Beaumont kritisierte am 02.10.2022, dass die zuvor genannte Lösung und auch die unter Verwendung des Scripts möglicherweise nicht ausreichend sei, da die Request-Block-Regel sich recht leicht umgehen lässt, da das “@” in der Regel zu stark präzisiere.
Microsoft hat ebenfalls reagiert und verweist im entsprechenden Blog-Beitrag darauf hin, dass es stark empfohlen ist, die Ausführung von Remote-Code durch Unberechtigte zu schützen. Die Fähigkeit eines Benutzers eine Verbindung per Remote PowerShell zu einem Exchange Server herzustellen können Sie deaktivieren oder aktivieren. Informationen dazu finden Sie in folgendem Beitrag von Microsoft.
Melden Sie sich per Kontaktformular an uns. Wir stehen Ihnen mit folgenden Services zur Seite:
- Wir stellen sicher, dass die EMS (Exchange Emergency Mitigation Service) beim Kunden installiert, aktiviert und aktuell sind
- Wir stellen sicher, dass der Remote PowerShell Zugriff für Nicht-Admins (sprich nur für von Ihnen berechtigten Usern) möglich ist.
- Wir stellen sicher, dass die entsprechend im Beitrag gesetzten Regeln konfiguriert sind.
Updates
02.10.2022
Microsoft berücksichtigt in Ihrem Blogpost die Bedenken und ergänzt den Hinweis, die Remote Ausführung von der EX Management Shell auf bestimmte User zu beschränken.
04.10.2022
Das Script von MS sowie die Automatisierung durch EEMS wurden entsprechend bezüglich der Regel angepasst.
05.10.2022
Erneute Anpassung, bei der die Condition von {URL} in {UrlDecode:{REQUEST_URI}} geändert wurde.
08.10.2022
Microsoft stellte am Wochenende nochmals ein weiteres Update bereit: "(?=.*autodiscover\.json)(?=.*powershell)"
Weiteres dazu im Blogpost von Microsoft