Exchange Zero-Day-LĂĽcke: Nochmals nachgebesserter Workaround
Microsoft bessert den Workaround für die Zero-Day-Lücke in Exchange noch mal nach. Admins bleibt nur zu hoffen, dass die jetzige Regel bis zum Update hält.
Es mag einigen wie Slapstick vorkommen, aber nach mehreren Anläufen hat Microsoft die Regel für den Workaround für die Zero-Day-Sicherheitslücken im Exchange-Server noch mal aktualisiert. Am Wochenende kamen die IT-Experten des Herstellers zu einer angepassten Regel, die Administratoren dafür in den Einstellungen der Mailsoftware eintragen sollen.
Aktueller Stand der Regel
Die derzeit aktuelle Regel vom Wochenende lautet jetzt (?=.*autodiscover)(?=.*powershell)
. Administratoren sollen das als Request-Block-Regel für Autodiscover anlegen und die Option "Regular Expression" unter "Using" auswählen. Für "How to block" sollen sie die Einstellung auf "Abort Request" setzen. Schließlich sollen Admins die neu angelegte Regel auswählen und auf "Edit" unter "Conditions" klicken. Im Feld "Condition Input" sollen sie die Zeichenkette {URL} in {UrlDecode:{REQUEST_URI}} ändern.
Erläuterungen, was an der vorhergehenden Regelwerkänderung nicht ausreichend oder falsch war, liefert Microsoft im Blog-Beitrag zum Workaround der Zero-Day-Lücke in Exchange nicht. Exchange-Administratoren sollten jedoch die bisher eingesetzte Regel löschen und durch die neue ersetzen. Zudem sollten IT-Verantwortliche den Remote-PowerShell-Zugriff für Nicht-Administratoren deaktivieren. Mit dieser Kombination sollten Angriffe auf die Sicherheitslücken ins Leere laufen.
Vor eineinhalb Wochen wurden Angriffe auf bis dahin unbekannte Sicherheitslücken im Mailsystem Microsoft Exchange bekannt. Da es zum Schließen der Schwachstellen bis jetzt keine Patches vom Hersteller gibt, sprechen IT-Sicherheitsexperten von sogenannten Zero-Day-Lücken: Administratoren haben keine Vorlaufzeit, sich vor Angriffen darauf zu schützen. Dass Microsoft eine vorgeschlagene Gegenmaßnahme so oft aktualisieren muss, ist dabei äußerst ungewöhnlich.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier eine externe Umfrage (Opinary GmbH) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Opinary GmbH) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
Für Administratoren bleibt nur weiter zu hoffen, dass das jetzt gültige Regelwerk bis zur Verfügbarkeit eines Sicherheitsflickens und dessen Anwendung hält. Es ist derzeit unklar, ob die Entwickler bis heute Abend zu Microsofts Patchday ein Update zum Schließen der Sicherheitslücke fertiggestellt haben.
Lesen Sie auch
Exchange Zero-Day: Microsoft bessert Workaround erneut nach
Exchange Zero-Day: Microsoft korrigiert Workaround
Exchange-Server Zero-Day: Bisheriger Workaround unzureichend
Exchange Server Zero-Day: Microsoft veröffentlicht Skript für Workaround​
Zero-Day-Attacken auf Microsoft Exchange Server – Sicherheitspatches fehlen
(dmk)