Sicherheitsforscher warnen, dass Angreifer schon zwei Zero-Day-Lücken in Microsofts Exchange Server aktiv ausnutzen. Da Sicherheitsupdates bislang nicht verfügbar sind, hat Microfsoft jetzt ein Workaround vorgeschlagen.

Schadcode-Attacken laufen – Patches sind noch nicht verfügbar

Festgestellt wurden die Attacken von Sicherheitsforschern von GTSC. Sie fassten Ihre Erkenntnisse in einem Bericht zusammen: Angreifer aus dem chinesischen Umfeld sollen Exchange Server erfolgreich attackieren und sich über Hintertüren in Systemen einnisten. Nach erfolgreichen Angriffen sei dann die Ausführung von Schadcode möglich. Hinzu komme, dass die erarbeitete Position als Ausgangspunkt zur Ausbreitung in weitere Systeme diene.

Inzwischen haben weitere Sicherheitsforscher wie zum Beispiel Trend Micros Zero Day Initiative (ZDI), die Lücken und auch die Angriffe bestätigt.

Microsoft hat die Angriffe bestätigt

Inzwischen hat auch Microsoft die Sicherheitslücken (CVE-2022-41040, CVE-2022-41082) bestätigt, wobei der Konzern In einem Bericht von “begrenzten gezielten Attacken” spricht – Online-Kunden von Exchange sollen nicht betroffen sein. Im Bericht beschreiben sie , wie Premises-Kunden ihre Server absichern können.

Details zu den genutzten Sicherheitslücken sind bisher kaum verfügbar, und auch CVE-Nummern sind zum jetzigen Zeitpunkt noch nicht vergeben.

Der Workaround zu Absicherung der Mailserver

Wann dagegen Sicherheitspatches erscheinen, ist noch nicht klar. Um die Mailserver aber schon jetzt zu schützen, haben die Sicherheitsforscher von GTSC einen temporären Workaround entwickelt, um Anfragen zum Einleiten solcher Angriffe zu blocken.

Zu dem Zweck müssen die Admins unter Autodiscover im Tab URL Rewrite eine Request-Blocking-Regel mit dem Inhalt

.*autodiscover\.json.*\@.*Powershell.*

im URL Path erstellen. Als Condition input müssen sie dabei {REQUEST_URI} wählen.

Mit nachfolgendem PowerShell-Befehl können Admins prüfen, ob ein Server bereits kompromittiert ist:

Get-ChildItem -Recurse -Path <Path_IIS_Logs> -Filter “*.log” | Select-String -Pattern ‘powershell.*autodiscover\.json.*\@.*200’