Zwei neue Zero-Day-Exploits in Microsoft Exchange Server

Zwei Schwachstellen in Exchange, die als Zero-Day-Schwachstellen eingestuft sind, sind kürzlich erneut aufgetaucht. Die Lücken wurden von zwei Forschern des Sicherheitsunternehmens GTSC aufgedeckt. Betroffen sind alle Exchange-Versionen ab Exchange Server 2013.

Microsoft warnt auch in einem eigenen Blogbeitrag vor der Lücke. Informationen zum temporären Schutz von Exchange-Servern finden Sie auch hier. Im Blogbeitrag „Angriffe anhand der Exchange-Schwachstellen CVE-2022-41040 und CVE-2022-41082 analysieren“ geht Microsoft näher auf das Thema ein und auch das BSI warnt vor den Angriffen und gibt eine Anleitung, wie man die entsprechende URL blockieren kann.

Diese Lücken sind nicht theoretischer Natur, sondern werden bereits aktiv ausgenutzt. Die Forscher haben bereits einige infizierte Server gefunden und auch ein Honeypot wurde erfolgreich angegriffen. Besonders gefährdet sind natürlich Exchange-Server, die direkt mit dem Internet verbunden sind und über die Autodiscover-Funktion verfügen.

Sicherheitsprodukte erkennen Angriffe noch nicht, aber es gibt einen Scanner. Die meisten Sicherheitsprodukte erkennen diese Angriffe noch nicht und vor ein paar Tagen gab es dafür keine CVE-Nummer. Folgende zwei Nummern wurden nun vergeben: CVE-2022-41040 und CVE-2022-41082. Angreifer, die diese Schwachstellen ausnutzen, können aus der Ferne Code auf den Servern ausführen. Der Zugriff darauf erfolgt über die Web-Shell mithilfe von PowerShell-AutoErmittlungsanforderungen. Dadurch erhalten Angreifer dauerhaften Zugriff auf den Exchange-Server. Es wird dringend empfohlen, die leistungsstarke Antimalware-Software für Ihr Windows-Betriebssysteme zu verwenden.