2022-2169: Microsoft Exchange Server: Zwei Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2022-09-30 18:04)

Neues Advisory

Version 2 (2022-10-04 13:13)

Wie aktuell berichtet wird, ist laut Sicherheitsforscher Jang das von Microsoft angegebene 'URL Pattern': .*autodiscover\.json.*\@.*Powershell.* unnötig speziell und das Blocking kann dadurch relativ leicht umgangen werden. Besser sollte als Workaround die Regel: .*autodiscover\.json.*Powershell.* verwendet werden (siehe geänderter Workaround).

Version 3 (2022-11-22 13:37)

Nachdem Microsoft am Patchday im November 2022 Sicherheitsupdates zur Behebung der Schwachstellen CVE-2022-41040 und CVE-2022-41082 veröffentlicht hat, sollten diese unbedingt installiert werden, da Medienberichten zufolge für die Schwachstellen ein Exploit öffentlich bekannt ist und die Schwachstellen ausgenutzt werden. Die bisherigen Mitigationen werden nicht mehr empfohlen.

Version 4 (2022-12-21 17:05)

Das IT-Sicherheitsunternehmen CrowdStrike berichtet von einer neuen Angriffsmethode (genannt: OWASSRF) durch die Ausnutzung der Schwachstellen CVE-2022-41080 und CVE-2022-41082 unter Verwendung von Outlook Web Access (OWA), womit auch die von Microsoft beschriebenen Mitigationen (siehe Workaround) umgangen werden können. Die Schwachstelle CVE-2022-41040 spielt hierbei offenbar keine Rolle. Zur Durchführung des Angriffs stehen Tools im Internet zur Verfügung, weshalb von einem hohen Angriffsrisiko auszugehen ist. Die von Microsoft Anfang November 2022 veröffentlichten Sicherheitsupdates sollten als einzig wirksame Schutzmaßnahme unbedingt installiert werden, falls noch nicht geschehen.

Betroffene Software

Middleware
Netzwerk

Betroffene Plattformen

Microsoft

Beschreibung:

Ein Angreifer kann zwei Schwachstellen in Microsoft Exchange Server in Kombination aus der Ferne ausnutzen, um zunächst einen Server-Side-Request-Forgery-Angriff durchzuführen (CVE-2022-41040), um dadurch Privilegien zu eskalieren, und in der Folge beliebigen Programmcode auf Benutzersystemen zur Ausführung zu bringen (CVE-2022-41082).

Für die Ausnutzung der Schwachstellen benötigt ein Angreifer authentifizierten Zugriff auf einen Microsoft Exchange Server.

Der Hersteller informiert über die Zero-Day-Schwachstellen, nachdem diese von Sicherheitsforschern von GTSC entdeckt wurden. Bislang wird nur ein Workaround beschrieben, um Anfragen zum Einleiten des Angriffs zu blocken.

Schwachstellen:

CVE-2022-41040

Schwachstelle in Microsoft Exchange Server ermöglicht Server-Side-Request-Forgery-Angriff

CVE-2022-41082

Schwachstelle in Microsoft Exchange Server ermöglicht Ausführen beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.