13.10.22
Zwei neue Zero-Day-Exploits in Microsoft Exchange Server
Zwei Schwachstellen in Exchange, die als Zero-Day-Schwachstellen eingestuft werden, sind kürzlich wieder aufgetaucht. Die Lücken wurden von zwei Forschern der Sicherheitsfirma GTSC aufgedeckt. Betroffen sind alle Exchange-Versionen ab Exchange Server 2013.
Auch Microsoft warnt in einem eigenen Blog-Beitrag vor der Lücke. Informationen zum temporären Schutz von Exchange-Servern finden Sie auch hier. Im Blog-Beitrag "Analyse von Angriffen mit den Exchange-Schwachstellen CVE-2022-41040 und CVE-2022- 41082“ geht Microsoft näher auf das Thema ein und auch das BSI warnt vor den Angriffen und gibt eine Anleitung, wie man die entsprechende URL sperren kann.
Diese Lücken sind nicht theoretischer Natur, sondern werden bereits aktiv ausgenutzt. Die Forscher haben bereits einige infizierte Server gefunden und auch ein Honeypot wurde erfolgreich angegriffen. Besonders gefährdet sind natürlich Exchange-Server, die direkt mit dem Internet verbunden sind und die Autodiscover-Funktion bereitstellen.
< /span>
Sicherheitsprodukte erkennen Angriffe noch nicht, aber es gibt einen Scanner
Die meisten Sicherheitsprodukte erkennen diese Angriffe noch nicht und vor ein paar Tagen gab es noch keine CVE-Nummer dafür. Die folgenden beiden Nummern wurden nun vergeben: CVE-2022-41040 und CVE-2022-41082.
Angreifer, die diese Schwachstellen ausnutzen, können aus der Ferne Code auf den Servern ausführen. Der Zugriff erfolgt über die Webshell mithilfe von PowerShell-AutoErmittlungsanfragen. Dadurch erhalten Angreifer dauerhaften Zugriff auf den Exchange-Server.