21.12.2022 15:30
OWA und (nicht) Autodiscover - Noch Fragen?
Aus gegebenem Anlass möchten wir Sie erneut auf ein wichtiges Update von Microsoft hinweisen. Die im September bekannt gewordene Sicherheitslücke "ProxyNotShell" (CVE-2022-41082 und CVE-2022-41040) wurde ursprünglich im November im Rahmen des "Patch-Tuesday" behoben, kann jedoch durch Anpassung der Angriffsparameter weiterhin ausgenutzt werden.
Dass die Ausnutzung der Lücke weiterhin möglich ist, hat einen trivialen Grund: Die Regel welche bösartige Anfragen verwerfen soll, wird nur bei Verbindungen zum Exchange-Endpunkt Autodiscover ausgelöst. Die nun genutzte Vorgehensweise benötigt keine Verbindung zu diesem Endpunkt.
Abhilfe
- Das Update KB5019758 behebt die neuen Mitigation-Bypasses. Stellen Sie sicher, dass dieses installiert ist!
- Wenn Sie das Update nicht zeitnah einspielen können, sollten Sie OWA deaktivieren, bis der Patch angewendet werden kann.
- Folgen Sie der Empfehlung von Microsoft, Remote-PowerShell für nicht-administrative Benutzer nach Möglichkeit zu deaktivieren.
- Stellen Sie sicher, dass der
X-Forwarded-For-Headereingehender HTTP(S)-Anfragen protokolliert wird, wodurch das Log die tatsächliche IP-Adresse des aufrufenden Clients enthält.
Weitere Ressourcen:
Ausführliche Hinweise zur Detektion einer Kompromittierung (Englisch):
https://www.crowdstrike.com/blog/owassrf-exploit-analysis-and-recommendations/
Konfigurieren des X-Forwarded-For Headers (Englisch):
https://support.kemptechnologies.com/hc/en-us/articles/360002861712-Adding-The-X-Forwarded-For-Header-and-Configuring-IIS-Logging
CERT.at Blogbeitrag zum letzten Patch-Tuesday:
https://cert.at/de/blog/2022/12/patch-tuesday-zur-abwechslung-augen-auf
Heise.de Medienbericht:
https://www.heise.de/news/Jetzt-patchen-Attacken-auf-Exchange-Server-im-ProxyNotShell-Kontext-gesichtet-7434860.html