Sicherheitsforscher von GTSC haben zwei neue RCE-Schwachstellen bei MS Exchange Server entdeckt. In-the-wild gibt es bereits passende Exploits dafür. Microsoft wurden die Schwachstellen gemeldet und kommentiert „Derzeit sind Microsoft begrenzte gezielte Angriffe bekannt“.
Etwa Anfang August 2022 entdeckte das GTSC SOC-Team bei der Durchführung von Sicherheitsüberwachungs- und Vorfallsreaktionsdiensten, dass eine kritische Infrastruktur angegriffen wurde, insbesondere auf ihre Microsoft Exchange-Anwendung. Während der Untersuchung stellten die Experten des GTSC Blue Teams fest, dass der Angriff eine unveröffentlichte Exchange-Sicherheitslücke (eine 0-Day-Schwachstelle) ausnutzte, und entwickelten daher sofort einen temporären Eindämmungsplan.
Gleichzeitig begannen die Experten des Red Teams mit der Untersuchung und Fehlerbehebung von dekompiliertem Exchange-Code, um die Schwachstelle und den Exploit-Code zu finden. Dank der Erfahrung, den vorherigen Exploit für Exchange zu finden, verkürzte sich die Recherchezeit, so dass die Schwachstelle schnell aufgedeckt wurde. Die Schwachstelle stellt sich als so kritisch heraus, da sie es dem Angreifer ermöglicht RCE (Remote-Code Execution) auf dem kompromittierten System durchzuführen. GTSC hat die Schwachstelle umgehend bei der Zero Day Initiative (ZDI) eingereicht, um mit Microsoft zusammenzuarbeiten. Nur so kann so schnell wie möglich ein Patch vorbereitet werden. ZDI hat die zwei Fehler verifiziert und bestätigt, deren CVSS-Werte 8,8 und 6,3 betragen. Eine ungefähre Beschreibung der Schwachstellen stellt GTSC auf seiner Webseite bereit.
Microsoft kommentiert die Schwachstellen
Microsoft hat sehr schnell einen Kundenleitfaden für die gemeldeten Zero-Day-Schwachstellen in Microsoft Exchange Server veröffentlicht. „Microsoft untersucht zwei gemeldete Zero-Day-Schwachstellen, die Microsoft Exchange Server 2013, 2016 und 2019 betreffen. Die erste Schwachstelle, identifiziert als CVE-2022-41040, ist eine Sicherheitslücke durch Server-Side Request Forgery (SSRF), während die zweite, identifiziert als CVE-2022-41082, ermöglicht Remote Code Execution (RCE), wenn PowerShell für den Angreifer zugänglich ist.
Derzeit sind Microsoft begrenzte gezielte Angriffe bekannt, die die beiden Schwachstellen nutzen, um in die Systeme der Benutzer einzudringen. Bei diesen Angriffen kann CVE-2022-41040 einem authentifizierten Angreifer ermöglichen, CVE-2022-41082 aus der Ferne auszulösen. Es sollte beachtet werden, dass ein authentifizierter Zugriff auf den verwundbaren Exchange-Server erforderlich ist, um eine der beiden Schwachstellen erfolgreich auszunutzen.
Noch keine Patches vorhanden
Wir arbeiten an einem beschleunigten Zeitplan für die Veröffentlichung eines Fixes. Bis dahin stellen wir die unten stehenden Anleitungen zu Abwehrmaßnahmen und Erkennungen bereit, um Kunden dabei zu helfen, sich vor diesen Angriffen zu schützen.“
Mehr bei Gteltsc.vn