Aktuell wird eine Zero-Day Schwachstelle in Exchange Server 2013, 2016 und 109 aktiv ausgenutzt. Aktuell gibt es noch kein Sicherheitsupdate für die folgenden Schwachstellen:
- CVE-2022-41040
- CVE-2022-41082
Es gibt aber Abhilfe um einen erfolgreichen Angriff zu vermeiden. Um die Ausnutzung der Schwachstelle zu verhindern, kann eine Regel für das Feature URL Rewrite erstellt werden. Dazu wird im IIS Manager zunächst das Autodiscover Verzeichnis der Default Web Site ausgewählt:
Unter dem Punkt „Add Rules…“ kann dann eine neue Regel erstellt werden:
Als Vorlage muss „Request blocking“ ausgewählt werden:
Im Feld „Pattern (URL Path“ wird nun der folgende String eingegeben:
(?=.*autodiscover)(?=.*powershell)
Hinweis: Das Pattern wurde in letzter Zeit mehrfach durch Microsoft angepasst.
Das Feld „Using“ muss von „Wildcard“ auf „Regular Expressions“ umgestellt werden:
Die neu hinzugefügte Regel wird nun aufgeklappt und bearbeitet;
Im Feld „Condition input“ wird nun {URI} zu {REQUEST_URI} geändert:
Die Regel ist nun fertig und verhindert den aktuellen Angriff. Sobald ein Sicherheitsupdate verfügbar ist, sollte dies zeitnah eingespielt werden.
Authentifizierte Benutzer mit Zugriff auf PowerShell Remoting könnten versuchen die Schwachstelle CVE-2022-41082 auszunutzen. Da PowerShell Remoting allerdings hoffentlich in keiner Umgebung aus dem Internet zu erreichen ist, beschränkt sich hier der Angriffsvektor auf das lokale Netzwerk. Um auch diesen Angriff zu erschweren, können die beiden Port für PowerShell Remoting an der Windows Firewall blockiert werden:
Als Aktion wird „Block the connection“ ausgewählt:
Der Regel muss nun noch einem Namen bekommen und kann dann gespeichert werden:
Unter den folgenden beiden Links finden sich weitere Informationen zu der Schwachstelle:
- https://gteltsc.vn/blog/warning-new-attack-campaign-utilized-a-new-0day-rce-vulnerability-on-microsoft-exchange-server-12715.html
- https://techcommunity.microsoft.com/t5/exchange-team-blog/customer-guidance-for-reported-zero-day-vulnerabilities-in/ba-p/3641494
Der erste Link enthält auch Informationen, wie ein bereits erfolgreicher Angriff festgestellt werden kann.
Update 11.10.2022: Das Pattern wurde durch Microsoft mehrfach aktualisiert. Dieser Beitrag enthält das aktuelle Pattern.