Sicherheitsschwachstelle Microsoft Exchange Server Zero-Day Exploit und Handlungsempfehlung
GBS möchte auf eine aktuelle Microsoft Exchange-Sicherheitslücke aufmerksam machen und erste Handlungsschritte empfehlen.
Microsoft Exchange Server Zero-Day Exploits wurden kürzlich von Cybersicherheitsunternehmen GTSC festgestellt, die die Ausführung von Remote-Code ermöglichen. Die Angreifer installieren Chinese Chopper-Web-Shells auf den kompromittierten Servern und stehlen Daten. Das ermöglicht ihnen auf andere Systeme innerhalb der Netzwerke ihrer Angriffsziele zu gelangen.
Es ist noch nicht klar, wann Microsoft einen Patch für die beiden Sicherheitslücken bereitstellen wird, aber es ist möglich, dass sie als Teil der Patch Tuesday-Updates am 11. Oktober 2022 ausgeliefert werden könnten.
In der Zwischenzeit können alle, die Exchange Server nutzen, folgende Änderungen im IIS vorzunehmen:
- IIS-Manager öffnen
- Standard-Website wählen
- Klicken Sie in der Funktionsansicht auf URL Rewrite
- Klicken Sie im Bereich “Aktionen” auf der rechten Seite auf Regel(n) hinzufügen…
- Wählen Sie Request Blocking und klicken Sie auf OK
- Fügen Sie die Zeichenfolge “.*autodiscover\.json.*Powershell.*” (ohne Anführungszeichen)
- Wählen Sie Regular Expression unter Using
- Wählen Sie Abort Request unter How to block und klicken Sie dann auf OK
- Erweitern Sie die Regel und wählen Sie die Regel mit dem Muster: .*autodiscover\.json.*Powershell.* und klicken Sie auf Bearbeiten unter Bedingungen
- Ändern Sie die Bedingungseingabe von {URL} in {REQUEST_URI}
Überprüfen Sie auch mithilfe dieses PowerShell-Befehls, ob Ihre Exchange-Server mit diesem Exploit kompromittiert wurden:
Get-ChildItem -Recurse -Path <Path_IIS_Logs> -Filter “*.log” | Select-String -Pattern ‘powershell.*autodiscover\.json.*\@.*200’
Wir hoffen auf eine prompte Reaktion von Microsoft, um das Problem zu lösen.
Quellen: