Alert!

Exchange-Server Zero-Day: Bisheriger Workaround unzureichend

Für die zum Wochenende bekannt gewordene Zero-Day-Lücke in Exchange hat Microsoft einen Workaround angeboten. Der dichtet das Leck jedoch nicht ausreichend ab.

In Pocket speichern vorlesen Druckansicht 91 Kommentare lesen
Aufmacher Workaorund für Exhange-Zero-Day unzureichend

(Bild: Michael Traitov/Shutterstock.com)

Lesezeit: 3 Min.
Von
Inhaltsverzeichnis

Der Workaround, der für die zum Wochenende bekannt gewordene und bereits aktiv angegriffene Zero-Day-Lücke in Microsofts Exchange-Server angeraten wurde, schließt die Schwachstellen nicht ausreichend, warnen IT-Sicherheitsforscher. Angreifer könnten trotz dessen Umsetzung immer noch Server kompromittieren. Mit einer kleinen Anpassung soll er jedoch korrekt vor Angriffen schützen.

Die Zero-Day-Sicherheitslücke, für die Microsoft noch keine Updates zum Schließen veröffentlicht hat, wurde am Freitag bekannt und dürfte vielen Administratoren einige Überstunden bereitet haben. Die Angriffe konzertieren das Zusammenspiel zweier Schwachstellen: Einer, durch die Angreifer ihre Rechte ausweiten könnten (CVE-2022-41040, CVSS 8.8, Risiko "hoch") sowie einer, die das Ausführen von beliebigem Code aus der Ferne ermöglicht (CVE-2022-41082, CVSS 8.8, hoch).

Der bekannte IT-Sicherheitsexperte Kevin Beaumont hat der Lücke den Namen ProxyNotShell gegeben, da sie Ähnlichkeiten mit den ProxyShell-Schwachstellen aus dem vergangenen Jahr aufweisen. Die Patches gegen ProxyShell helfen jedoch nicht gegen die jetzt entdeckten Fehler.

Microsoft hatte als Workaround vorgestellt, dass Administratoren in den Einstellungen unter Auto-Discover die Request-Block-Regel .*autodiscover\.json.*\@.*Powershell.* einfügen sollten. Dafür stellte der Hersteller auch ein Skript bereit, dass diese Änderungen für den IT-Verantwortlichen vornimmt.

Kevin Beaumont hat den Workaround untersucht und ist zu dem Schluss gekommen, dass er nicht funktioniere.

Der IT-Forscher Will Dormann stößt ins selbe Horn und erläutert, dass das "@" in der Regel sie zu stark präzisiere und sie besser funktioniere, wenn sie folgendermaßen eingetragen würde:

.*autodiscover\.json.*Powershell.*

Eine Bestätigung der besseren Wirksamkeit der angepassten Regel durch weitere IT-Sicherheitsexperten findet sich derzeit nicht.

Derweil versuchen Betrüger, vermeintliche Exploits für diese Schwachstellen auf GitHub zu verkaufen. Als Masche legen sie Projekte an, die einen Exploit für die Lücke versprechen. Jedoch führt der Text in der readme.md-Datei dann lediglich zu SatoshiDisk – offenbar ein Cloudspeicher, der hochgeladene Inhalte erst nach Zahlung eines Betrags in Kryptowährung freigibt.

Da für solche Exploits üblicherweise deutlich größere Summen etwa von Bug-Bounty-Plattformen gezahlt werden als die geforderten Bitcoin-Beträge, liegt es nahe, dass sich dahinter lediglich Betrüger verbergen. GitHub hat die Projekte inzwischen gesperrt.

Auch mit dem Namen von Kevin Beaumont versuchten einige Betrüger, derart potenzielle Opfer zu finden und um ihr Geld zu bringen.

Microsoft hat die Lücken bestätigt und bietet Informationen und Hinweise in einem Blogbeitrag. Neben obiger, offenbar unzureichender Rewrite-Regel findet sich inzwischen der Hinweis, dass Administratoren den Zugang aus dem Netz zur PowerShell für nicht-administrative Nutzer der Organisation deaktivieren sollten. Der Hersteller hat eine Anleitung dazu verlinkt.

(dmk)