[Warning] 0-day Exploit Remote Code Execution in Microsoft Exchange On-Premise - Workaround verfügbar
Michael Schlagenhaufer
schlagenhaufer at cert.at
Fri Sep 30 13:15:18 CEST 2022
30. September 2022
Beschreibung
Eine Kombination von zwei 0-day Schwachstellen in Microsoft Exchange
On-Premise ermöglichen entfernten, authentifizierten Angreifer:innen
das Ausführen von beliebigem Code. Microsoft Exchange Online ist nicht
betroffen.
CVE-Nummer(n):
* CVE-2022-41040
* CVE-2022-41082
CVSS Base Score (lt. Zero Day Initiative): 8.8 und 6.3
Auswirkungen
Das Ausnützen der Schwachstellen kann zu einer vollständigen
Kompromittierung des Systems und zur Ausbreitung auf andere Systeme
führen.
Betroffene Systeme
Betroffen sind alle aktuellen On-Premise Versionen von Microsoft
Exchange Server.
* Exchange Server 2019 CU12 Aug22SU 15.02.1118.012 (aktuelle Version)
* Exchange Server 2016 CU23 Aug22SU 15.01.2507.012 (aktuelle Version)
* Exchange Server 2013 CU23 Aug22SU 15.00.1497.040 (aktuelle Version)
Abhilfe
Derzeit existieren noch keine Updates, um die Sicherheitslücke zu
schließen. Als Workaround wird von Microsoft empfohlen, die
ausnutzbaren Anfragen via URL Rewrite zu blockieren und die Ports
HTTP:5985 und HTTPS:5986 zu sperren, bis ein Patch verfügbar ist.
Außerdem hat Microsoft Möglichkeiten zur Angriffserkennung
zusammengefasst.
Hinweis
Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und
dabei insbesondere auf automatische Updates zu setzen. Regelmäßige
Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.
__________________________________________________________________
Informationsquelle(n):
Blog von Microsoft (Englisch)
https://msrc-blog.microsoft.com/2022/09/29/customer-guidance-for-reported-zero-day-vulnerabilities-in-microsoft-exchange-server/
Blog von GTSC (Englisch)
https://gteltsc.vn/blog/warning-new-attack-campaign-utilized-a-new-0day-rce-vulnerability-on-microsoft-exchange-server-12715.html
Artikel von Borncity
https://www.borncity.com/blog/2022/09/30/exchange-server-werden-ber-0-day-exploit-angegriffen-29-sept-2022/
Artikel von heise.de
https://www.heise.de/news/Warten-auf-Sicherheitsupdates-Zero-Day-Attacken-auf-Microsoft-Exchange-Server-7280460.html
Artikel von Doublepulsar.com (Englisch)
https://doublepulsar.com/proxynotshell-the-story-of-the-claimed-zero-day-in-microsoft-exchange-5c63d963a9e9
Zero Day Initiative Advisories (Englisch)
https://www.zerodayinitiative.com/advisories/upcoming/
____________________________________________________________________
--
// Michael Schlagenhaufer <schlagenhaufer at cert.at> - T: +43 1 5056416
// CERT Austria - https://www.cert.at/
// CERT.at GmbH, FB-Nr. 561772k, HG Wien
More information about the Warning
mailing list