Hoppa till innehåll
Blog

Ytterligare ett fjärrkodsexekvering i MS-Exchange

· av grommunio
Ytterligare ett fjärrkodsexekvering i MS-Exchange

Ännu en gång har två allvarliga sårbarheter drabbat Microsofts Exchange Server: Med en allvarlighetsgrad på 8,8 och 6,3 i Common Vulnerability Score System utgör de tidigare opatchade sårbarheterna (CVE-2022-41040 och CVE-2022-41082) ett hot mot alla servrar som förlitar sig på Microsofts e-postsystem.

Eftersom de nu också utnyttjas aktivt av angripare bör berörda administratörer se till att implementera workaround från Microsofts blogg omedelbart tills tillverkaren har åtgärdat problemet. Sårbarheterna upptäcktes redan i slutet av september av säkerhetsföretaget GTSC, en patch från Microsoft är fortfarande inte klar.

Berörda: Exchange 2013, 2016 och 2019

Alla lokala installationer av Microsoft Exchange Server-versionerna 2013, 2016 och 2019 påverkas, inklusive fullt patchade och väl underhållna servrar. Kunder och produkter från grommunio påverkas inte av denna sårbarhet.

Enligt leverantörens medgivande tillåter bristen (här är ständigt uppdaterad BSI-rapport) “fjärrkodkörning för autentiserade konton”, dvs. körning av godtycklig kod via användarkonton. Den rekommenderade lösningen rekommenderar starkt alla lokala kunder hos Microsoft att inaktivera fjärråtkomst till Powershell (kommandoraden i Windows-systemet) för icke-privilegierade användare. Detta är för närvarande det enda sättet att förhindra angripare från att missbruka dessa konton och orsaka allvarlig skada på servern eller det lokala nätverket.

Microsofts initiala åtgärder är otillräckliga

Säkerhetsexperter fortsätter att undersöka problemet och delar med sig av sina resultat främst på Twitter. Den tillhörande hashtaggen är #proxynotshell, med hänvisning till andra säkerhetsincidenter i Exchange från 2021. Det råd som BSI och Microsoft antog för att “låsa ut” alla icke-privilegierade användare från Powershell kom också via Twitter, efter att den begränsning som ursprungligen föreslogs av Microsoft bevisligen inte ledde till framgång.

Testa grommunio på din egen server gratis.

Uppdatering

12. Oktober: I motsats till förväntningarna tillhandahöll Microsoft inte någon patch för sårbarheten på sin senaste patchday (den 11 oktober). Efter de problematiska lösningarna och efter att hackare redan aktivt utnyttjar sårbarheterna, står Microsoft nu inför allvarligare säkerhetshål i Windows, Hyper-V och Office. Blogginlägget från Microsofts Security Response Center (https://msrc-blog.microsoft.com/2022/09/29/customer-guidance-for-reported-zero-day-vulnerabilities-in-microsoft-exchange-server/) uppdateras kontinuerligt av det amerikanska företaget, det senaste inlägget är från den 9 oktober.

Tillbaka till Blogg & nyheter

Relaterade artiklar

Blog

Kodningsutmaning i Graz: Och vinnaren är..

Vid Linuxdagarna i Graz anordnade grommunio en mycket uppskattad kodningsutmaning som lockade många deltagare.
Case Study

"Oberoende och mer motståndskraftig": grommunio på Radolfshausens kommun

"Oberoende och mer motståndskraftig": grommunio hos Radolfshausens kommun. Fler kommuner vänder sig till grommunio.
Blog

Graz Linux Days 2026: grommunio-presentationer, workshops och en kodningsutmaning!

Graz Linux Days 2026: grommunio-presentationer, workshops och en kodningsutmaning! Över 2 000 besökare tog sig till Steiermark igen 2026.