Erneut treffen zwei schwere Sicherheitslücken Microsofts Exchange Server: Mit einem Schweregrad von 8,8 und 6,3 im Common Vulnerability Score System sind die bisher ungepatchten Schwachstellen (CVE-2022-41040 und CVE-2022-41082), eine Bedrohung für alle Server, die auf das Microsoft-Mail-System setzen.
Weil sie mittlerweile auch aktiv von Angreifern ausgenutzt werden, sollten betroffene Administratoren unbedingt sofort den Workaround aus Microsofts Blog umsetzen, bis der Hersteller das Problem korrigiert hat. Die Schwachstellen wurde bereits Ende September von der Sicherheitsfirma GTSC entdeckt, ein Patch durch Microsoft steht noch aus.
Betroffen: Exchange 2013, 2016 und 2019
Betroffen sind alle On-Premise-Installationen von Microsoft Exchange Server der Versionen 2013, 2016 und 2019, auch vollständig gepatchte und gut gewartete Server. Kunden und Produkte von grommunio sind auch von dieser Schwachstelle nicht betroffen.
Der Fehler (hier der stets aktualisierte Bericht des BSI) erlaubt laut Eingeständnis des Herstellers die “Remote Code Execution für authentifizierte Accounts”, also das Ausführen beliebigen Codes über die Benutzeraccounts. Der empfohlene Workaround rät allen On-Premise-Kunden von Microsoft dringend dazu, den Remote-Zugang zur Powershell (der Befehlszeile des Windowssystems) für nicht privilegierte Benutzer zu deaktivieren. Nur so ließe sich derzeit verhindern, dass Angreifer diese Accounts missbrauchen und ernsthaften Schaden auf dem Server oder dem lokalen Netz anrichten können.
Erste Maßnahmen von Microsoft unzureichend
Sicherheitsexperten untersuchen das Problem weiter und tauschen sich überwiegend auf Twitter über ihre Ergebnisse aus. Der zugehörige Hashtag lautet #proxynotshell, in Anlehnung an andere Sicherheitsvorfälle in Exchange aus dem Jahr 2021. Aus Twitter stammt auch der Rat, den das BSI und Microsoft übernahmen, alle nicht-privilegierten User aus der Powershell “auszusperren”, nachdem die zunächst von Microsoft vorgeschlagenen Mitigation nachweisbar nicht zum Erfolg führte.
Testen Sie grommunio kostenlos auf Ihrem eigenen Server.
Update
12. Oktober: Anders als erwartet hat Microsoft an seinem jüngsten Patchday (am 11. Oktober) keinen Patch für die Sicherheitslücke bereitgestellt. Nach den problematischen Workarounds und nachdem Hacker die Lücke bereits aktiv ausnutzen, sieht sich Microsoft nun weiteren schweren Schwachstellen in Windows, Hyper-V und Office gegenüber. Den Blogpost des Microsoft Security Response Center aktualisiert die US-Firma fortlaufend, der letzte Eintrag stammt vom 9. Oktober.