Derzeit laufen wieder Angriffe auf veraltete Exchange Server. Konkret wird die ProxyNotShell Lücke, welche im Oktober diesen Jahres bekannt wurde, neu ausgenutzt. Der neue Angriffsweg wurde OWASSRF getauft. Die von Microsoft veröffentlichten IIS Rewrite Rules werden bei dieser neuen Angriffsmethode umgangen. Hier hilft es aktuell nur die verfügbaren Sicherheitsupdates vom November zu installieren:
Auf dem CrowdStrike Blog findet sich eine detaillierte Beschreibung zur neuen Angriffsmethode:
Wer also aktuell noch Exchange Server ohne das November SU betreibt, sollte schnellstmöglich das Update installieren. Gerade die Weihnachtszeit wird gerne für automatisierte Angriffe genutzt, da viele Mitarbeiter der IT-Abteilungen im Urlaub sind und so die Wahrscheinlichkeit sinkt, dass ein Angriff schnell bemerkt wird.
Wie bereits erwähnt hilft gegen diesen neuen Angriff bisher nur das Installieren des Updates KB5019758, die IIS Rewrite Rules, welche Microsoft mittels Exchange Emergency Mitigation verteilt hat, helfen nicht, da diese nur auf das Autodiscover vDir konfiguriert wurden:
Der neue Angriff zielt nun aber auf das OWA vDir ab. Ohne das Update KB5019758 bleibt aktuell nur der Workaround OWA zu deaktivieren um sich vor OWASSRF zu schützen. Mit der folgenden IIS Rewrite Regel lässt sich OWA auf das lokale Subnetz einschränken und für alle anderen IPs deaktivieren:
Als Rule Template kann „Request blocking“ verwendet werden:
Die neue Regel wird nun wie im nächsten Screenshot zu sehen ist konfiguriert. Diese Regel schlägt bei allen IPs an, außer wenn der Request aus dem Netz 192.168.200.* kommt (Das Netz muss entsprechend angepasst werden):
So sieht dann die fertige Regel aus:
Es ist ggf. einfacher den Zugriff an einem Reverse Proxy oder einer Web Application Firewall zu blockieren, sofern diese eingesetzt werden.
Vielleicht ließe sich auch die ProxyNotShell Regel von „(?=.*autodiscover)(?=.*powershell)“ nach „(?=.*owa)(?=.*powershell)“ umstellen, dazu habe ich aber bisher keine Informationen gefunden. Wenn es so einfach wäre, hätte CrowdStrike vermutlich auch schon darauf hingewiesen.