21.12.2022 15:30

OWA und (nicht) Autodiscover - Noch Fragen?

Aus gegebenem Anlass möchten wir Sie erneut auf ein wichtiges Update von Microsoft hinweisen. Die im September bekannt gewordene Sicherheitslücke "ProxyNotShell" (CVE-2022-41082 und CVE-2022-41040) wurde ursprünglich im November im Rahmen des "Patch-Tuesday" behoben, kann jedoch durch Anpassung der Angriffsparameter weiterhin ausgenutzt werden.

Dass die Ausnutzung der Lücke weiterhin möglich ist, hat einen trivialen Grund: Die Regel welche bösartige Anfragen verwerfen soll, wird nur bei Verbindungen zum Exchange-Endpunkt Autodiscover ausgelöst. Die nun genutzte Vorgehensweise benötigt keine Verbindung zu diesem Endpunkt.


Abhilfe

  • Das Update KB5019758 behebt die neuen Mitigation-Bypasses. Stellen Sie sicher, dass dieses installiert ist!
  • Wenn Sie das Update nicht zeitnah einspielen können, sollten Sie OWA deaktivieren, bis der Patch angewendet werden kann.
  • Folgen Sie der Empfehlung von Microsoft, Remote-PowerShell für nicht-administrative Benutzer nach Möglichkeit zu deaktivieren.
  • Stellen Sie sicher, dass der X-Forwarded-For-Header eingehender HTTP(S)-Anfragen protokolliert wird, wodurch das Log die tatsächliche IP-Adresse des aufrufenden Clients enthält.


Weitere Ressourcen:

Ausführliche Hinweise zur Detektion einer Kompromittierung (Englisch):
https://www.crowdstrike.com/blog/owassrf-exploit-analysis-and-recommendations/

Konfigurieren des X-Forwarded-For Headers (Englisch):
https://support.kemptechnologies.com/hc/en-us/articles/360002861712-Adding-The-X-Forwarded-For-Header-and-Configuring-IIS-Logging

CERT.at Blogbeitrag zum letzten Patch-Tuesday: 
https://cert.at/de/blog/2022/12/patch-tuesday-zur-abwechslung-augen-auf

Heise.de Medienbericht: 
https://www.heise.de/news/Jetzt-patchen-Attacken-auf-Exchange-Server-im-ProxyNotShell-Kontext-gesichtet-7434860.html