In Microsofts Exchange Server wurde eine Zero-Day-Schachstelle entdeckt, die bereits für Angriffe missbraucht wird. Wie Günter Born in seinem Blog
meldet, hat Sicherheitsforscher Kevin Beaumont auf Twitter
bestätigt, dass bereits eine signifikante Zahl von Exchange Servern inklusive einem Honeypot Angriffen zum Opfer gefallen seien.
Microsoft sei über den Sachverhalt informiert, habe es bis anhin aber unterlassen, die Kunden zu informieren.
Entdeckt wurde die Sicherheitslücke vom vietnamesischen Security-Unternehmen GTSC. Die Schwachstelle, die auch das Ausführen von Code aus der Ferne (Remote Code Execution) ermöglicht, wurde sodann der Zero Day Initiative gemeldet, welche zwei Bugs verifizierte und mit den Gefahren-Ratings 8,8 und 6,3 versah.
Da Microsoft bis dato noch nicht reagiert hat, schlagen die Security-Experten von GTSC temporäre Massnahmen vor, um das Angriffsrisiko zu vermindern. Hierfür wird im IIS-Webserver zur Autodiscover-Site eine neue URL-Rewrite-Request-Blocking-Regel erfasst, um potentielle Angriffe abzuwehren. Als Muster für den URL-Pfad wird der String " .*autodiscover.json.*@.*Powershell.*" eingegeben und als Bedingung wird "{REQUEST_URI}" gewählt. Eine Anleitung mit Screenshots findet sich auf der
Website von GTSC. Hier finden sich auch zwei Methoden, mit denen sich feststellen lässt, ob ein Exchange Server bereits kompromittiert wurde.
Update: Mittlerweile hat Microsoft die Zero-Day-Schwachstellen in Exchange
bestätigt und merkt an, dass ein authentifizierter Zugriff auf den Exchange Server nötig sei, um eine der beiden Schwachstellen auszunutzen. Weiter heisst es, man arbeite bereits an einem Patch. Dazu werden dieselben Massnahmen empfohlen, die bereits GTSC veröffentlicht hat.
(rd)
