Die Zero-Day-Minderung von Microsoft Exchange Server kann umgangen werden

Microsoft hat Risikominderungen für zwei neu nachverfolgte Zero-Day-Schwachstellen in Microsoft Exchange als CVE-2022-41040 und CVE-2022-41082 geteilt, aber Forscher warnen davor, dass die Risikominderung für lokale Server bei weitem nicht ausreicht.

Bedrohungsakteure sind es bereits Verkettung dieser beiden Zero-Day-Bugs bei aktiven Angriffen, um Microsoft Exchange-Server zu verletzen und eine Remotecodeausführung zu erreichen.

Beide Sicherheitslücken wurden vor etwa drei Wochen privat im Rahmen des Zero Day Initiative-Programms von der vietnamesischen Cybersicherheitsfirma GTSC gemeldet, die die Details letzte Woche öffentlich bekannt gab.

Minderung zu spezifisch

Microsoft bestätigte beide Probleme am Freitag und sagte, es sei sich „begrenzter gezielter Angriffe bewusst“, die sie ausnutzen.

Im Rahmen einer Empfehlung teilte Microsoft mit Dämpfungen für lokale Server und eine starke Empfehlung für Exchange Server-Kunden zum „Deaktivieren des PowerShell-Remotezugriffs für Benutzer ohne Administratorrechte“ in der Organisation.

Um das Risiko einer Ausnutzung zu verringern, hat Microsoft angeboten, bekannte Angriffsmuster über eine Regel im IIS-Manager zu blockieren:

1. Öffnen Sie den IIS-Manager.
2. Auswählen Standard-Website.
3. Klicken Sie in der **Funktionsansicht** auf URL-Umschreibung.
4. In dem Anteile rechten Bereich, klicken Sie auf Regeln hinzufügen….
5. Wählen Sie **Blockierung anfordern** und klicken Sie auf OKAY.
6. Fügen Sie die Zeichenfolge „.autodiscover.json.*@.*Powershell.“ (ohne Anführungszeichen) und klicken Sie dann auf OKAY.
7. Erweitern Sie das Lineal und wählen Sie das Lineal mit der Vorlage „autodiscover.json.*@.*Powershell.“ und klicken Sie Unter Bedingungen ändern.
8. Ändere das Bedingungseingabe von {URL} bis {REQUEST_URI}

Administratoren können das gleiche Ergebnis erzielen, indem sie das Update von Microsoft ausführen Lokales Exchange-Minderungstool – ein Skript, das PowerShell 3 oder höher erfordert, mit Administratorrechten ausgeführt werden muss und auf IIS 7.5 oder höher ausgeführt wird.

Die von Microsoft vorgeschlagene Regel deckt jedoch nur bekannte Angriffe ab, sodass das URL-Muster auf sie beschränkt ist.

Sicherheitsforscher jang in einem heutigen Tweet zeigt, dass Microsofts Workaround, um zu verhindern, dass CVE-2022-41040 und CVE-2022-41082 ausgenutzt werden, nicht effektiv ist und mit geringem Aufwand umgangen werden kann.

Will Dormann, Senior Vulnerability Analyst bei ANALYGENCE, akzeptiert mit Discovery und sagt, dass das ‚@‘ im URL-Block von Microsoft „unnötig präzise und daher unzureichend erscheint“.

Jangs Entdeckung wurde von GTSC-Forschern getestet, die heute in einem Video bestätigten, dass die Abschwächung von Microsoft keinen ausreichenden Schutz bietet.

Anstelle des von Microsoft vorgeschlagenen URL-Blocks bot Jang eine weniger spezifische Alternative an, die eine breitere Palette von Angriffen abdecken sollte:

.*autodiscover\.json.*Powershell.*

Riskante Hybridbereitstellungen

In seinem Advisory zu beiden Schwachstellen gibt Microsoft an, dass die Minderungsrichtlinien für Kunden mit lokalem Exchange Server gelten und dass Exchange Online-Kunden keine Maßnahmen ergreifen müssen.

Viele Organisationen haben jedoch eine Hybrid-Setup das die lokale Bereitstellung mit der Cloud-Bereitstellung von Microsoft Exchange kombiniert, und sie müssen verstehen, dass sie ebenfalls anfällig sind.

In einem Videos heuteSicherheitsforscher Kevin Beaumont warnt davor, dass die Organisation gefährdet ist, solange es eine lokale Bereitstellung von Exchange Server gibt.

In Bezug auf die Exploit-Kette als ProxyNotShell sagt Beaumont, dass ein hybrides Exchange-Setup in Unternehmensumgebungen „extrem üblich“ ist und das Risikoniveau berücksichtigen sollte, dem sie ausgesetzt sind.

Mehr als 1.200 dieser Organisationen stellen ihre hybriden Bereitstellungen auch im öffentlichen Internet zur Verfügung. Darunter befinden sich Unternehmen aus dem Finanz-, Bildungs- und Regierungssektor, alles sehr attraktive Ziele für Hacker, die Spionage- oder Erpressungsoperationen durchführen.

Ein Patch soll noch kommen

Zum Zeitpunkt der Veröffentlichung hat Microsoft kein Update veröffentlicht, um die beiden Probleme zu beheben, sondern Sicherheitshinweise veröffentlicht, die Informationen zu den Auswirkungen und Anforderungen für den Betrieb enthalten.

Microsoft beschreibt CVE-2022-41040 als Hochrisiko-Schwachstelle (Schweregrad von 8,8/10), die ein Angreifer leicht ausnutzen kann, um seine Berechtigungen auf dem betroffenen Computer ohne Benutzereingriff zu eskalieren.

Der Grund, warum dieses Sicherheitsproblem keinen höheren Schweregrad hat, liegt darin, dass der Bedrohungsakteur authentifiziert werden muss.

CVE-2022-41082 hat den gleichen hohen Schweregrad, kann aber von einem Angreifer mit „Berechtigungen, die grundlegende Benutzerfunktionen bereitstellen“ (Einstellungen und Dateien, die dem Benutzer gehören) zur Remotecodeausführung auf anfälligen lokalen Microsoft Exchange-Servern verwendet werden.

Aktualisieren [October 3, 2022, 17:06 EST]: Der Artikel wurde mit einer Klarstellung von Kevin Beaumont zum Missverständnis einiger Organisationen aktualisiert, dass eine hybride Microsoft Exchange-Konfiguration sie vor Angriffen schützt.