Exchange Server: Neue 0-Day Schwachstelle – fehlende Patches  

B2B Cyber Security ShortNews

Beitrag teilen

Sicherheitsforscher von GTSC haben zwei neue RCE-Schwachstellen bei MS Exchange Server entdeckt. In-the-wild gibt es bereits passende Exploits dafür. Microsoft wurden die Schwachstellen gemeldet und kommentiert „Derzeit sind Microsoft begrenzte gezielte Angriffe bekannt“. 

Etwa Anfang August 2022 entdeckte das GTSC SOC-Team bei der Durchführung von Sicherheitsüberwachungs- und Vorfallsreaktionsdiensten, dass eine kritische Infrastruktur angegriffen wurde, insbesondere auf ihre Microsoft Exchange-Anwendung. Während der Untersuchung stellten die Experten des GTSC Blue Teams fest, dass der Angriff eine unveröffentlichte Exchange-Sicherheitslücke (eine 0-Day-Schwachstelle) ausnutzte, und entwickelten daher sofort einen temporären Eindämmungsplan.

Anzeige

Gleichzeitig begannen die Experten des Red Teams mit der Untersuchung und Fehlerbehebung von dekompiliertem Exchange-Code, um die Schwachstelle und den Exploit-Code zu finden. Dank der Erfahrung, den vorherigen Exploit für Exchange zu finden, verkürzte sich die Recherchezeit, so dass die Schwachstelle schnell aufgedeckt wurde. Die Schwachstelle stellt sich als so kritisch heraus, da sie es dem Angreifer ermöglicht RCE (Remote-Code Execution) auf dem kompromittierten System durchzuführen. GTSC hat die Schwachstelle umgehend bei der Zero Day Initiative (ZDI) eingereicht, um mit Microsoft zusammenzuarbeiten. Nur so kann so schnell wie möglich ein Patch vorbereitet werden. ZDI hat die zwei Fehler verifiziert und bestätigt, deren CVSS-Werte 8,8 und 6,3 betragen. Eine ungefähre Beschreibung der Schwachstellen stellt GTSC auf seiner Webseite bereit.

Microsoft kommentiert die Schwachstellen

Microsoft hat sehr schnell einen Kundenleitfaden für die gemeldeten Zero-Day-Schwachstellen in Microsoft Exchange Server veröffentlicht. „Microsoft untersucht zwei gemeldete Zero-Day-Schwachstellen, die Microsoft Exchange Server 2013, 2016 und 2019 betreffen. Die erste Schwachstelle, identifiziert als CVE-2022-41040, ist eine Sicherheitslücke durch Server-Side Request Forgery (SSRF), während die zweite, identifiziert als CVE-2022-41082, ermöglicht Remote Code Execution (RCE), wenn PowerShell für den Angreifer zugänglich ist.

Derzeit sind Microsoft begrenzte gezielte Angriffe bekannt, die die beiden Schwachstellen nutzen, um in die Systeme der Benutzer einzudringen. Bei diesen Angriffen kann CVE-2022-41040 einem authentifizierten Angreifer ermöglichen, CVE-2022-41082 aus der Ferne auszulösen. Es sollte beachtet werden, dass ein authentifizierter Zugriff auf den verwundbaren Exchange-Server erforderlich ist, um eine der beiden Schwachstellen erfolgreich auszunutzen.

Noch keine Patches vorhanden

Wir arbeiten an einem beschleunigten Zeitplan für die Veröffentlichung eines Fixes. Bis dahin stellen wir die unten stehenden Anleitungen zu Abwehrmaßnahmen und Erkennungen bereit, um Kunden dabei zu helfen, sich vor diesen Angriffen zu schützen.“

Mehr bei Gteltsc.vn

 

Passende Artikel zum Thema

Cloud SIEM für Echtzeit-Bedrohungserkennung 

Modernes Cloud SIEM soll für Echtzeit-Bedrohungserkennung und ein effizientes Monitoring sorgen. Das Cloud SIEM von Datadog setzt auf moderne Architekturen und ➡ Weiterlesen

Amazon-S3-Datensätze einfach zurücksetzen

Mit der neuen Funktionalität Clumio Backtrack von Commvault können Unternehmen in Amazon Simple Storage Service (Amazon S3) gespeicherte Objekte oder ➡ Weiterlesen

BSI: Kritische 9.3 Schwachstelle in PaloAlto Networks Expedition

Das BSI warnt eindringlich vor einer kritischen Schwachstelle in Next-Generation-Firewall (NGFW)-Plattform PaloAlto Networks Expedition mit dem CVSS-Wert 9.3 von 10. ➡ Weiterlesen

Hochgefährliche Schwachstellen in Firefox und Thunderbird 

Mozilla hat am 7. Januar 2025 mehrere Sicherheitsupdates für Firefox und Thunderbird veröffentlicht, um Schwachstellen mit hoher Priorität zu beheben. ➡ Weiterlesen

Ransomware-Angriff auf Fraunhofer-Institut

Ein Ransomware-Angriffe hat bereits am 27. Dezember 2024 das Fraunhofer-Institut für Arbeitswirtschaft und Organisation IAO in Stuttgart getroffen. Das Institut ➡ Weiterlesen

Prognosen für 2025

Die Cybersecurity-Landschaft entwickelt sich mit atemberaubender Geschwindigkeit. Für 2025 zeichnen sich bereits heute einige kritische Entwicklungen ab, die besonders Unternehmen ➡ Weiterlesen

Schutz vor KI-Jailbreaks durch Open-Source-Tool 

FuzzyAI, ein quelloffenes Framework, hat bislang für jedes getestete Modell einen KI-Jailbreak gefunden. Es hilft Unternehmen, Schwachstellen in ihren KI-Modellen ➡ Weiterlesen

Zero-Day-Schwachstelle lässt Fernzugriff zu 

Die Arctic Wolf Labs Threat Intelligence Teams haben neue schädliche Aktivitäten im Zusammenhang mit der von Huntress aufgedeckten Zero-Day-Schwachstelle in ➡ Weiterlesen