Beiträge

Wir haben einen Remote-Test für die Microsoft Exchange Server ProxyNotShell-Schwachstelle GTSC2022 entwickelt.


Update vom 13.10.2022: Auch nach dem Oktober-Patchday vom Dienstag besteht die Lücke weiter. Den Blogpost des Microsofts Security Response Center aktualisiert die Firma fortlaufend, der letzte Eintrag stammt vom 08. Oktober.


Der genannte Zero-Day Exploit in Microsoft Exchange Servern [GTSC2022] wurde am 28. September vom Cyber-Sicherheitsunternehmen GTSC veröffentlicht. Nach Untersuchung eines Sicherheitsvorfalls entdeckten die Sicherheitsforscher Hinweise auf eine aktive Ausnutzung von zwei Schwachstellen, über die sich auch vollständig gepatchte Systeme kompromittieren lassen.

Der Test (hier testen) erweitert unsere aktuelle Schwachstellenerkennung für Outlook Web Access (OWA), indem er überprüft, ob die von Microsoft vorgeschlagenen Abhilfemaßnahmen in Kraft sind. Bisher (Anfang Oktober 2022) empfiehlt der Microsoft lediglich nur Workarounds. Anwender von Microsoft Exchange können mit unserem Test sicherstellen, dass die Anweisungen des Workarounds implementiert und aktiv sind. Unsere Kunden können ihr Greenbone Produkt einfach weiter nutzen, der Test ist bereits im Feed implementiert. Diejenigen, die noch kein Greenbone Produkt besitzen, nutzen bitte den oben angegebenen Link (hier testen).

Informationen zum technischen Hintergrund

Microsoft hat einen Beitrag auf seiner Webseite veröffentlicht [MSRC2022], der beschreibt, dass die Schwachstellen eine Server-Side Request Forgery (CVE-2022-41040) sowie eine Remote Code Execution (CVE-2022-41082) ermöglichen, wenn der Angreifer Zugriff auf die PowerShell hat. Hierfür sei allerdings ein authentifizierter Zugriff auf den verwundbaren Server (laut Microsoft die Microsoft Exchange Server 2013, 2016 und 2019) nötig.

Die im Microsoft Blog aufgeführten Migitationsmaßnahmen (beispielsweise das Deaktivieren des Zugangs zur Powershell für unprivilegierte User) sollten von Kunden mit On-Premise Lösungen schnellstmöglichst umgesetzt werden, da aktuell noch kein Sicherheits-Update bekannt ist, dass die Schwachstelle behebt. Nutzer von Microsoft Exchange Online sind nach Aussage von Microsoft nicht betroffen.

Der Schweregrad der Schwachstelle

Im Common Vulnerability Scoring System (CVSS) wurden die Schwachstellen mit einem Schweregrad von 8.8 bzw. 6.3 von 10 Punkten als „hoch“ bzw. „mittel“ eingestuft. Da die Schwachstellen bereits aktiv von Angreifern ausgenutzt werden, besteht auch für deutsche Institutionen die erhöhte Gefahr einer Kompromittierung.

Nachhaltige Sicherung von Ihren IT-Netzwerken

Wenn Sie wissen wollen, welche Systeme in ihrem Netzwerk (noch) anfällig für Schwachstellen – einschließlich der ProxyNotShell-Schwachstelle – sind, hilft Ihnen unser Schwachstellenmanagement. Es findet Anwendung in Systemen, die auf jeden Fall gepatcht oder anderweitig geschützt werden müssen. Je nach Art der Systeme und Schwachstelle können diese besser oder schlechter gefunden werden. Auch die Erkennung verbessert sich ständig und wird fortlaufend aktualisiert. Neue Lücken werden gefunden. Es können daher immer noch weitere Systeme mit Schwachstellen im Netz vorhanden sein. Daher lohnt sich eine regelmäßige Aktualisierung und das Scannen aller Systeme. Hierfür bietet das Greenbone-Schwachstellenmanagement entsprechende Automatisierungsfunktionen.

Unser Schwachstellenmanagement bietet besten Schutz

Schwachstellenmanagement ist ein unverzichtbarer Bestandteil der IT-Sicherheit. Es kann Risiken finden und liefert wertvolle Hinweise zu deren Behebung. Eine 100%ige Sicherheit bietet jedoch keine einzelne Maßnahme, auch kein Schwachstellenmanagement. Um ein System sicher zu machen, werden viele Systeme eingesetzt, die in ihrer Gesamtheit die bestmögliche Sicherheit bieten sollen.

Interview mit Björn Ricks, Senior Software Developer, bei Greenbone Networks

Greenbone verstärkt sein Engagement für Open Source und die Community Edition seiner Schwachstellenmanagement-Software. Zusätzlich zu den Quelltexten auf Github stellt Greenbone nun auch vorkonfigurierte und getestete Docker-Container bereit.

Offizielle Container vom Hersteller selbst

Die Greenbone Community Container werden regelmäßig automatisch gebaut und stehen auch für ARM und Raspberrys zur Verfügung.

Björn Ricks sieht darin eine „große Verbesserung für Admins, die Greenbone einfach mal ausprobieren möchten. Unsere offiziellen Container ersetzen die vielen verschiedenen Docker-Images die es im Web gibt, mit einer offiziellen, stets aktuellen, immer gepflegten Version von Greenbone“.

Docker Container für die Greenbone Community Edition

Hallo Björn, was ist Deine Aufgabe bei Greenbone?

Björn Ricks: Eine meiner aktuellen Aufgaben ist die Bereitstellung von Community Container Builds bei Greenbone. Die Betreuung der Community war schon immer ein großen Anliegen von mir und ich wollte lange schon erreichen, dass wir auch „offizielle“ Docker-Images von Greenbone zur Verfügung stellen. Dass das jetzt geklappt hat, freut mich sehr.

Was ist der Nutzen der Images für die Community?

Björn Ricks: Wir machen es Administratoren und Anwendern, die Greenbone testen wollen, viel einfacher. Die Installation funktioniert nun komplett unabhängig vom verwendeten Betriebssystem: Einfach das Docker-Compose-file, das die Services beschreibt, herunterladen und ausführen, den Browser öffnen und das lokale Netzwerk scannen. Ich denke, das ist eine viel niedrigere Einstiegshürde, ideal auch für jeden, der die Details und Möglichkeiten unserer Produkte noch gar nicht kennt.

Warum stellt Greenbone jetzt selbst Container zur Verfügung? Es gab doch schon welche im Netz?

Björn Ricks: Ja, das ist richtig, aber wir haben erfahren, dass manche Menschen unsicher waren über Inhalt, Aktualität und Wartung dieser Images. Deshalb haben wir uns entschlossen, von uns signierte Docker-Images mit geprüften und gesicherten Inhalten anzubieten.
All die im Netz existierenden Container Images haben einen unterschiedlichen Versionsstand und erst recht unterschiedliche Qualitätsgüte. Es ist von außen oft nicht zu erkennen, ob ein Image „etwas taugt“ oder eben nicht. Auch muss man den externen Autoren und Maintainern natürlich vertrauen, dass sie wissen, was sie da tun, und ihre Images keine zusätzlichen Sicherheitslücken enthalten. Nur wir als Hersteller unserer eigenen Software können garantieren, dass die veröffentlichen Container Images den aktuellen Versionsstand und die gewünschte Qualitätsgüte haben.

Plant Greenbone auch, Docker-Images für die kommerzielle Produktlinie, Greenbone Enterprise Appliances, bereitzustellen?

Björn Ricks: Das hängt von den Anfragen unserer kommerziellen Kunden ab. Die Greenbone Community Edition, die wir als Docker-Image zur Verfügung stellen, enthält Zugang zum Community-Feed mit rund 100.000 Schwachstellentests. Unser kommerzieller Feed enthält noch mehr Tests, einschließlich derer für viele proprietäre Produkte, die unsere Kunden verwenden.

Wir haben festgestellt, dass unsere Kunden mit unseren Appliances, unseren Virtual Appliances und unserer Cloud-Lösung zufrieden sind – die sich alle für die Nutzung des kommerziellen Feed-Abonnements qualifizieren. Dies könnte sich jedoch ändern, und wenn, werden wir in Betracht ziehen, Docker-Container für kommerzielle Kunden anzubieten.

Wie häufig werden die Images aktualisiert und welcher Feed ist enthalten?

Björn Ricks: Die Images werden direkt aus den Quellcode-Repositories gebaut und veröffentlicht. Sie sind somit immer tagesaktuell und enthalten alle Patches. Im Moment steht nur der Community-Feed für die Images zur Verfügung, aber das könnte sich in Zukunft ändern.

Wo bekomme ich die Images und die Dokumentation?

Björn Ricks:
Das Docker-Compose-File zur Orchestrierung der Services ist in der Dokumentation verlinkt. Die Dockerfiles zum Bauen der Docker Images finden sich auch auf Github in den entsprechenden Repositories, und sind ganz einfach einfach downloadbar, beispielsweise hier.