Update #5 - 0-day Exploit Remote Code Execution in Microsoft Exchange On-Premise – Workaround verfügbar

30. September 2022

Update: 03. Oktober 2022, 13:40
Update #2: 06. Oktober 2022, 09:30
Update #3: 07. Oktober 2022, 16:30
Update #4: 11. Oktober 2022, 19:15
Update #5: 09. November 2022, 16:00


Beschreibung

Eine Kombination von zwei 0-day Schwachstellen in Microsoft Exchange On-Premise ermöglichen entfernten, authentifizierten Angreifer:innen das Ausführen von beliebigem Code. Microsoft Exchange Online ist nicht betroffen.

CVE-Nummer(n):

  • CVE-2022-41040
  • CVE-2022-41082

CVSS Base Score (lt. Zero Day Initiative): 8.8 und 6.3


Auswirkungen

Das Ausnutzen der Schwachstellen kann zu einer vollständigen Kompromittierung des Systems und zur Ausbreitung auf andere Systeme führen.


Betroffene Systeme

Betroffen sind alle aktuellen On-Premise Versionen von Microsoft Exchange Server.

  • Exchange Server 2019 CU12 Aug22SU 15.02.1118.012 (aktuelle Version)
  • Exchange Server 2016 CU23 Aug22SU 15.01.2507.012 (aktuelle Version)
  • Exchange Server 2013 CU23 Aug22SU 15.00.1497.040 (aktuelle Version)


Abhilfe

Update: 03. Oktober 2022, 13:40
Microsoft hat den Eintrag für die Portsperren entfernt. Des Weiteren ist eine Möglichkeit für das Umgehen des Scripts von Microsoft für die Angriffserkennung/Verhinderung bekannt geworden. Es wird empfohlen den Remote-Powershell-Zugriff für nicht-Administrator-Accounts zu deaktivieren. Da sich die Informationen zur Abhilfe stündlich ändern können, empfehlen wir grundsätzlich jeglichen Zugriff auf von außen erreichbaren Exchange-Web-Interfaces zu sperren.

Update #2: 06. Oktober 2022, 09:30
Microsoft hat einige der vorgeschlagenen Mitigations/Workarounds erweitert, da in der ersten Version noch ein Umgehen per URL-Encoding möglich war.

Update #3: 07. Oktober 2022, 16:30
Die aktuellen Mitigations/Workarounds von Microsoft können wieder umgangen werden.

Update #4: 11. Oktober 2022, 19:15
Microsoft hat ein Update für die Mitigation-Regeln herausgegeben.

Update #5: 09. November 2022, 16:00
Microsoft hat Updates veröffentlicht.

Derzeit existieren noch keine Updates, um die Sicherheitslücke zu schließen. Als Workaround wird von Microsoft empfohlen, die ausnutzbaren Anfragen via URL Rewrite zu blockieren und die Ports HTTP:5985 und HTTPS: 5986 zu sperren, bis ein Patch verfügbar ist. Außerdem hat Microsoft Möglichkeiten zur Angriffserkennung zusammengefasst.


Hinweis

Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und dabei insbesondere auf automatische Updates zu setzen. Regelmäßige Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.


Informationsquelle(n):

Blog von Microsoft (Englisch)
https://msrc-blog.microsoft.com/2022/09/29/customer-guidance-for-reported-zero-day-vulnerabilities-in-microsoft-exchange-server/

Blog von GTSC (Englisch)
https://gteltsc.vn/blog/warning-new-attack-campaign-utilized-a-new-0day-rce-vulnerability-on-microsoft-exchange-server-12715.html

Artikel von Borncity
https://www.borncity.com/blog/2022/09/30/exchange-server-werden-ber-0-day-exploit-angegriffen-29-sept-2022/

Artikel von heise.de
https://www.heise.de/news/Warten-auf-Sicherheitsupdates-Zero-Day-Attacken-auf-Microsoft-Exchange-Server-7280460.html

Artikel von Doublepulsar.com (Englisch)
https://doublepulsar.com/proxynotshell-the-story-of-the-claimed-zero-day-in-microsoft-exchange-5c63d963a9e9

Zero Day Initiative Advisories (Englisch)
https://www.zerodayinitiative.com/advisories/upcoming/

 Analyse von Microsoft (Englisch)
https://msrc-blog.microsoft.com/2022/09/29/customer-guidance-for-reported-zero-day-vulnerabilities-in-microsoft-exchange-server/

Tweet von Kevin Beaumont (Englisch)
https://twitter.com/GossiTheDog/status/1576852912877101057

Artikel von heise Security zu nachgebesserten Mitigation-Regeln
https://www.heise.de/news/Exchange-Zero-Day-Luecke-Nochmals-nachgebesserter-Workaround-7304522.html