05.01.2023 14:00

ProxyNotShell Mitigations K.O.

Warum ist ProxyNotShell noch ein Thema? Die Schwachstellen wurden doch von Microsoft Anfang November geschlossen?

Kurz gesagt, weil sich viele auf die letzte Mitigation von Microsoft verlassen haben, anstatt auf den November-Patch. Der Exchange Patch vom November hatte es einigermaßen in sich. Zuerst war er heiß erwartet, dann gab es vereinzelt doch Probleme beim Einspielen und hat so manchen Admin mehrere Anläufe gekostet. Zum Glück hat Microsoft Übergangslösungen für die ProxyNotShell-Sicherheitslücke veröffentlicht … Naja.

Ende September 2022 bekam die Schwachstellenkette (CVE-2022-41040 und CVE-2022-41082) ihren Namen ProxyNotShell, hier unsere Warnung dazu. Was folgte war ein Katz- und Maus-Spiel, in dem Microsoft eine Mitigation nach der anderen veröffentlichte, die meist kurze Zeit danach wieder umgangen werden konnte. Die letzte Mitigation vom 8. Oktober blieb dann erst einmal standhaft und das sogar bis über den November-Patch hinaus. Diese Mitigation wurde aber dann Mitte Dezember wieder erfolgreich umgangen was ungepatchte Exchange-On-Premise-Server wieder angreifbar machte. Das hat zur Folge, dass Shadowserver in Österreich zum jetzigen Zeitpunkt rund 1600 vulnerable Systeme erkennt. „Fatality“

Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und dabei insbesondere auf automatische Updates zu setzen. Regelmäßige Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.

Verfasst von: Michael Schlagenhaufer