Top News Exchange Hack: Zwei neue Zero-Days im Microsoft Exchange Server werden aktiv für Angriffe ausgenutzt

Handlungsempfehlung

1. Betroffene Systeme vom Internet trennen
    a) Firewall-Regelwerk deaktivieren

2. Bei virtuellen Maschinen sollte zusätzlich – am besten vor dem Trennen der Netzwerkverbindung – ein Snapshot mit Arbeitsspeicher erstellt werden. Dies könnte bei einer späteren forensischen Untersuchung hilfreich sein.

3. Betroffenes System temporär vom Netzwerk trennen
    a)Virtuelle Netzwerkkarte oder physisches Netzwerkkabel trennen

4. Betroffene Systeme offline auf bekannte Indicator of Compromise (IoC) überprüfen

Am sichersten ist die vollständige Trennung des Systems vom Internetzugang (ein- und ausgehend) sowie eine temporäre Trennung des Systems vom Netzwerk allgemein. Während das System nicht mehr mit dem Netzwerk verbunden ist, sollten die Logs des zum Exchange gehörigen IIS auf malizöse Verbindungen überprüft werden. Zusätzlich sollten die in den bekannten IoCs aufgelisteten Dateien überprüft werden.

Um Organisationen und Unternehmen bei der Überprüfung zu helfen, ob Exchange-Server bereits von ausgenutzt wurden, hat GTSC eine Richtlinie und ein Tool zum Scannen von IIS-Protokolldateien (standardmäßig gespeichert im Ordner %SystemDrive%\inetpub\logs\LogFiles) veröffentlicht.

Method 1: Use powershell command:
Get-ChildItem -Recurse -Path <Path_IIS_Logs> -Filter “*.log” | Select-String -Pattern ’powershell.*autodiscover\.json.*\@.*200

Weiterführende Informationen: https://gteltsc.vn/blog/warning-new-attack-campaign-utilized-a-new-0day-rce-vulnerability-on-microsoft-exchange-server-12715.html

Melden Sie sich zu diesem wichtigen Thema bereits heute zum Webinar "Microsoft Exchange 0-Day" an, welches wir am 04.10.2022 von 14 Uhr bis 15 Uhr durchführen werden.
Anmeldelink: https://register.gotowebinar.com/register/7786495483422818576

Wir veröffentlichen an dieser Stelle im Laufe des Tages weitere Updates und Informationen!

Update 30.09.2022 11:51 MESC

Microsoft hat die beiden Sicherheitslücken (CVE-2022-41040, CVE-2022-41082) bestätigt.
Microsoft Customer Guidance-Link:
https://msrc-blog.microsoft.com/2022/09/29/customer-guidance-for-reported-zero-day-vulnerabilities-in-microsoft-exchange-server/

Die erste Schwachstelle (CVE-2022-41040) ist eine Server-Side Request Forgery (SSRF)-Schwachstelle, während die zweite (identifiziert als CVE-2022-41082) Remote Code Execution (RCE) ermöglicht, wenn PowerShell für den Angreifer zugänglich ist.

Update 01.10.2022 12:30 MESC

Microsoft hat das Mitigation Tool "EOMTv2" bereitgestellt, um die aktuelle Sicherheitslücke CVE-2022-41040 zu beheben.

Nähere Informationen finden Sie auf folgender Seite des Herstellers:

https://microsoft.github.io/CSS-Exchange/Security/EOMTv2/

Update 04.10.2022 15:00 MESC

Die von Microsoft herausgegebene Empfehlung, den PowerShell-Remotezugriff für Benutzer ohne Administratorrechte zu deaktivieren, via

Method 1:
Use powershell command:
Get ChildItem Recurse Path < Path_IIS_Logs > Filter “*.log” | Select String Pattern
powershell autodiscover json .*.*\\@.*200

hat sich als nicht effizient herausgestellt und kann mit geringem Aufwand umgangen werden. Im Speziellen erscheint das „@“-Zeichen im URL-Block von Microsoft als unnötig präzise und daher unzureichend.

Sicherheitsforscher des GTSC bestätigen, dass (anstelle des von Microsoft vorgeschlagenen URL-Blocks) eine weniger spezifische Alternative zur Verfügung steht, die eine breitere Palette von Angriffen abdecken sollte: .*autodiscover\.json.*Powershell.*

Wie empfehlen Ihnen, Ihre Einstellungen dahingehend zu prüfen und ggf. anzupassen.

Quelle: https://www.bleepingcomputer.com/news/security/microsoft-exchange-server-zero-day-mitigation-can-be-bypassed/

Update 05.10.2022 09:17 MESC

Microsoft hat zwischenzeitlich die Handlungsempfehlungen angepasst und die Regel in die vorgeschlagenen Fassung korrigiert:

.*autodiscover\.json.*Powershell.*.

Zudem haben die Entwickler von Microsoft das angebotene EOMTv2-Skript zum automatisierten Ausrollen der Rewrite-Regel mit der verbesserten Regel ausgestattet.

---------------------------------------------------------------------------------------------------------

Der von Allgeier secion eingesetzte MVSP Schwachstellenscanner erkennt und meldet seit dem 04.10.2022 die Exchange Exploits!

Update 06.10.2022 10:04 MESC

Microsoft hat erneut eine aktualisierte Regel vorgelegt. Es wird den Administratoren geraten, die bisher angelegte Regel zu entfernen und eine neue einzusetzen:

=> Zeichenkette .*autodiscover\.json.*Powershell.* muss für Request-Block-Regel für Autodiscover neu angelegt werden.

Aktualisierte Anleitung von Microsoft zu empfohlenen Gegenmaßnahmen: Auswahl der Option "Regular Expression" unter "Using" auswählen sowie für "How to block" auf "Abort Request". Neu angelegte Regel auswählen und auf "Edit" unter "Conditions" klicken. Im Feld "Condition Input" die Zeichenkette {URL} in {UrlDecode:{REQUEST_URI}} ändern.

Administratoren, die den Exchange Emergency Mitigation Service (EEMS) aktiviert haben, haben von Microsoft bereits die erneut aktualisierte Regel erhalten und es musst nichts getan werden. Ohne EEMS: Admins können das angepasste EOMTv2-Skript Vs. 22.10.05.2304 zum automatisierten Eintrag nutzen oder die Regel manuell anlegen.

Ergänzend sollte der Remote-PowerShell-Zugriff für nicht-Administratoren deaktiviert werden.

Update 07.10.2022 09:16 MESC

Empfehlung zur Prüfung auf Proxynotshell

Proxynotshell-Check via nmap: https://github.com/CronUp/Vulnerabilidades/blob/main/proxynotshell_checker.nse

Update 10.10.2022 09:00 MESC

Es gibt weitere Anpassungen von Microsoft, um die Schwachstelle zu mitigieren, Details im folgenden Artikel:

https://msrc-blog.microsoft.com/2022/09/29/customer-guidance-for-reported-zero-day-vulnerabilities-in-microsoft-exchange-server/

Update 09.11.2022 10:21 MESC

Im Rahmen des November 2022 Patch Tuesday hat Microsoft die ProxyNotShell-Schwachstellen im Sicherheitsupdate KB5019758 für Microsoft Exchange Server 2019, 2016 und 2013 behoben:

https://support.microsoft.com/en-us/topic/description-of-the-security-update-for-microsoft-exchange-server-2019-2016-and-2013-november-8-2022-kb5019758-2b3b039b-68b9-4f35-9064-6b286f495b1d

Update 21.12.2022 15:45 MESC

Achtung: Seit 20. Dezember 2022 existieren neue Erkenntnisse darüber, dass es den Angreifenden möglich ist, die von Microsoft veröffentlichten Mitigationsmaßnahmen zu umgehen und Schadsoftware auf den Zielsystemen zu installieren.

Ransomware-fähige Angreifer verwenden eine neue Exploit-Kette, die eine der ProxyNotShell-Schwachstellen (CVE-2022-41082) enthält, um eine Remotecodeausführung auf Microsoft Exchange-Servern zu erreichen. Anstelle der Schwachstelle CVE-2022-41040, einer SSRF-Schwachstelle im Autodiscover-Endpunkt von Microsoft Exchange, wird eine neue Schwachstelle CVE-2022-41080 verwendet, um eine Rechteausweitung über Outlook Web Access (OWA) zu erreichen.

Auf Basis der neuen Berichte muss davon ausgegangen werden, dass die von Microsoft vorgeschlagenen Mitigationsmaßnahmen keine hinreichende Schutzwirkung entfalten. IT-Sicherheitsverantwortliche sollten daher schnellstmöglich die Installation der am 8. November 2022 veröffentlichten Patches (KB5019758) prüfen. Wenn Sie den Patch KB5019758 nicht sofort anwenden können, sollten Sie OWA deaktivieren, bis der Patch angewendet werden kann.

Brauchen Sie Unterstützung, um Ihre IT Security für 2022 aufzurüsten? Kontaktieren Sie uns!