Neue Microsoft Exchange 0-Day

Sicherheitsforscher des Security Unternehmens GTSC haben bereits vor 3 Wochen zwei Schwachstellen in Microsoft Exchange entdeckt, welche der berüchtigten ProxyShell Attacke aus dem Jahr 2021 massiv ähnelt. Die Lücken werden nach neuesten Beobachtungen bereits aktiv ausgenutzt und können zur vollständigen Kompromittierung des Systems führen. Microsoft hat in einem Blogbeitrag die Existenz der beiden Lücken bestätigt und auch CVE Nummern bekannt gegeben:

 In these attacks, CVE-2022-41040 can enable an authenticated attacker to remotely trigger CVE-2022-41082.
– Microsoft Blog

Angriff:

Die Schwachstellen liegen in einer fehlerhaften Implementierung beim Exchange Client Access Service (CAS), der über den IIS Webbrowser ausgeführt wird. Die gesendete Anfrage an den Webserver sieht dabei exakt so aus wie die aus 2021 bekannt gewordenen ProxyShell Attacke:

Welche Exchange Versionen genau betroffen sind, ist noch nicht bekannt. Laut den Sicherheitsforschern wurden aber erfolgreiche Angriffe auch auf aktuell gepatchten Exchange Servern festgestellt.

Erkennung:

Genauso wie ProxyShell kann eine versuchte oder erfolgreiche Attacke über die IIS Logs nachvollzogen werden. Dazu können die Logs auf dem Exchange Server per PowerShell durchsucht werden:

Get-ChildItem -Recurse -Path PathToIISLogFiles -Filter “*.log” | Select-String -Pattern “powershell.*autodiscover\.json.*\@.*200”

Die Sicherheitsforscher vom GTSC haben zudem ein Tool bereitgestellt, welches gerade in großen Umgebungen die Logs effizienter durchsuchen kann: https://github.com/ncsgroupvn/NCSE0Scanner

Temporärer Workaround:

Über das IIS Rewrite Module kann über eine Richtlinie der Angriff unterbunden werden. In aktuellen Exchange Installation ist das IIS Rewrite Module bereits installiert.

Dazu muss im Unterordner Autodiscover der Default Website im IIS des Exchange folgender String hinzugefügt werden:

 .*autodiscover\.json.*\@.*Powershell.*

Condition Input: {REQUEST_URI}

Nachtrag 03.10.2022

Laut dem Sicherheitsforscher ist der von Microsoft publizierte String zu spezifisch und lässt sich mit wenig Mühe ebenfalls umgehen. Die Empfehlung des Sicherheitsforschers ist daher, den String weniger spezifisch zu gestalten:

.*autodiscover\.json.*Powershell.*

Condition Input: {REQUEST_URI}

Weitere Informationen beim GTSC:
GTSC BlogBeitrag

Nachtrag 30.09.2022 
Microsoft hat mittlerweile einen Blogbeitrag zu den zwei Schwachstellen veröffentlicht.
Microsoft Blog

Laut Microsoft kann die Schwachstelle nur von einem authentifizierten Angreifer ausgenutzt werden. Microsoft empfiehlt, die Schwachstelle temporär über den Workaround zu schließen.

Nachtrag 04.10.2022

Kunden, die den Exchange Emergency Mitigation Services aktiviert haben, wurden von Microsoft automatisch mit dem Fix versorgt.
Exchange Emergency Mitigation Service