Neuer Zero-Day Exploit in Microsoft Exchange Server – Greenbone Enterprise Feed bietet Schutz

Wir haben einen Remote-Test für die Microsoft Exchange Server ProxyNotShell-Schwachstelle GTSC2022 entwickelt.


Update vom 13.10.2022: Auch nach dem Oktober-Patchday vom Dienstag besteht die Lücke weiter. Den Blogpost des Microsofts Security Response Center aktualisiert die Firma fortlaufend, der letzte Eintrag stammt vom 08. Oktober.


Der genannte Zero-Day Exploit in Microsoft Exchange Servern [GTSC2022] wurde am 28. September vom Cyber-Sicherheitsunternehmen GTSC veröffentlicht. Nach Untersuchung eines Sicherheitsvorfalls entdeckten die Sicherheitsforscher Hinweise auf eine aktive Ausnutzung von zwei Schwachstellen, über die sich auch vollständig gepatchte Systeme kompromittieren lassen.

Der Test (hier testen) erweitert unsere aktuelle Schwachstellenerkennung für Outlook Web Access (OWA), indem er überprüft, ob die von Microsoft vorgeschlagenen Abhilfemaßnahmen in Kraft sind. Bisher (Anfang Oktober 2022) empfiehlt der Microsoft lediglich nur Workarounds. Anwender von Microsoft Exchange können mit unserem Test sicherstellen, dass die Anweisungen des Workarounds implementiert und aktiv sind. Unsere Kunden können ihr Greenbone Produkt einfach weiter nutzen, der Test ist bereits im Feed implementiert. Diejenigen, die noch kein Greenbone Produkt besitzen, nutzen bitte den oben angegebenen Link (hier testen).

Informationen zum technischen Hintergrund

Microsoft hat einen Beitrag auf seiner Webseite veröffentlicht [MSRC2022], der beschreibt, dass die Schwachstellen eine Server-Side Request Forgery (CVE-2022-41040) sowie eine Remote Code Execution (CVE-2022-41082) ermöglichen, wenn der Angreifer Zugriff auf die PowerShell hat. Hierfür sei allerdings ein authentifizierter Zugriff auf den verwundbaren Server (laut Microsoft die Microsoft Exchange Server 2013, 2016 und 2019) nötig.

Die im Microsoft Blog aufgeführten Migitationsmaßnahmen (beispielsweise das Deaktivieren des Zugangs zur Powershell für unprivilegierte User) sollten von Kunden mit On-Premise Lösungen schnellstmöglichst umgesetzt werden, da aktuell noch kein Sicherheits-Update bekannt ist, dass die Schwachstelle behebt. Nutzer von Microsoft Exchange Online sind nach Aussage von Microsoft nicht betroffen.

Der Schweregrad der Schwachstelle

Im Common Vulnerability Scoring System (CVSS) wurden die Schwachstellen mit einem Schweregrad von 8.8 bzw. 6.3 von 10 Punkten als „hoch“ bzw. „mittel“ eingestuft. Da die Schwachstellen bereits aktiv von Angreifern ausgenutzt werden, besteht auch für deutsche Institutionen die erhöhte Gefahr einer Kompromittierung.

Nachhaltige Sicherung von Ihren IT-Netzwerken

Wenn Sie wissen wollen, welche Systeme in ihrem Netzwerk (noch) anfällig für Schwachstellen – einschließlich der ProxyNotShell-Schwachstelle – sind, hilft Ihnen unser Schwachstellenmanagement. Es findet Anwendung in Systemen, die auf jeden Fall gepatcht oder anderweitig geschützt werden müssen. Je nach Art der Systeme und Schwachstelle können diese besser oder schlechter gefunden werden. Auch die Erkennung verbessert sich ständig und wird fortlaufend aktualisiert. Neue Lücken werden gefunden. Es können daher immer noch weitere Systeme mit Schwachstellen im Netz vorhanden sein. Daher lohnt sich eine regelmäßige Aktualisierung und das Scannen aller Systeme. Hierfür bietet das Greenbone-Schwachstellenmanagement entsprechende Automatisierungsfunktionen.

Unser Schwachstellenmanagement bietet besten Schutz

Schwachstellenmanagement ist ein unverzichtbarer Bestandteil der IT-Sicherheit. Es kann Risiken finden und liefert wertvolle Hinweise zu deren Behebung. Eine 100%ige Sicherheit bietet jedoch keine einzelne Maßnahme, auch kein Schwachstellenmanagement. Um ein System sicher zu machen, werden viele Systeme eingesetzt, die in ihrer Gesamtheit die bestmögliche Sicherheit bieten sollen.