[English]Die Zero Day Initiative (ZDI) von Trend Micro hat gerade vier ungepatchte Schwachstellen (sogenannte 0-Days) in Microsoft Exchange öffentlich gemacht. Diese wurden im September 2023 an Microsoft gemeldet und ZDI stuft die mit CVSS-Scores von 7.1 bis 7.5 ein. Microsofts Sicherheitsexperten sehen die Schwachstellen als nicht so schwerwiegend an, dass diese ein sofortiges Handeln erfordern (zur Ausnutzung sei eine Authentifizierung erforderlich). Die Microsoft-Entwickler haben Fixes "für später" angekündigt. Daher ist die Zero Day Initiative an die Öffentlichkeit gegangen, da man trotzdem die Möglichkeit für RCE-Angriffe und Datenklau sieht.
Anzeige
Ich bin die Nacht über den folgenden Tweet auf diesen Beitrag der Kollegen von Bleeping Computer aufmerksam geworden – die die Details dort zusammen gefasst haben. Ein Blog-Leser hat mich heute früh zudem per Mail auf den Sachverhalt hingewiesen (danke dafür).
Vier 0-days in Microsoft Exchange
Am 7. und 8. September 2023 hat die Zero-Day-Initiative (ZDI) von Trend Micro gleich vier bis dahin unbekannte und (zum Meldezeitpunkt) nicht gepatchte Schwachstellen an Microsoft gemeldet. Die Sicherheitsexperten haben die Schwachstellen zwar gegenüber der Zero-Day-Initiative (ZDI) bestätigt, sehen diese aber als nicht so gravierend an, um sofort mit Updates zu reagieren. Es sind Fixes "für später geplant". Die Zero-Day-Initiative (ZDI) sieht dies aber fundamental anders und hat zum 2. November 2023 die nachfolgenden Sicherheitshinweise zu den Schwachstellen veröffentlicht.
- ZDI-23-1578: ChainedSerializationBinder Deserialization of Untrusted Data Remote Code Execution Vulnerability; (CVSS-Index 7.5); Ein RCE-Fehler (Remote Code Execution) in der 'ChainedSerializationBinder'-Klasse, bei dem Benutzerdaten nicht ausreichend validiert werden. Erlaubt Angreifern, nicht vertrauenswürdige Daten zu deserialisieren. Bei erfolgreicher Ausnutzung kann ein Angreifer beliebigen Code als 'SYSTEM', der höchsten Berechtigungsstufe unter Windows, ausführen.
- ZDI-23-1579: DownloadDataFromUri Server-Side Request Forgery Information Disclosure Vulnerability; (CVSS-Index 7.1); Diese Schwachstelle befindet sich in der Methode "DownloadDataFromUri" und ist auf eine unzureichende Validierung eines URI vor dem Ressourcenzugriff zurückzuführen. Angreifer können dies ausnutzen, um auf sensible Informationen von Exchange-Servern zuzugreifen.
- ZDI-23-1580: DownloadDataFromOfficeMarketPlace Server-Side Request Forgery Information Disclosure Vulnerability; (CVSS-Index 7.1); Diese Sicherheitsanfälligkeit ermöglicht Remote-Angreifern die Offenlegung vertraulicher Informationen auf betroffenen Installationen von Microsoft Exchange. Um diese Sicherheitsanfälligkeit auszunutzen, ist eine Authentifizierung erforderlich.
- ZDI-23-1581: CreateAttachmentFromUri Server-Side Request Forgery Information Disclosure Vulnerability; (CVSS-Index 7.1); Diese Sicherheitsanfälligkeit ermöglicht Remote-Angreifern die Offenlegung vertraulicher Informationen auf betroffenen Installationen von Microsoft Exchange. Um diese Sicherheitsanfälligkeit auszunutzen, ist eine Authentifizierung erforderlich.
Die Ausnutzung der Schwachstellen erfordert – wie es aktuell ausschaut – eine Authentifizierung des Angreifers, was der Grund für Microsofts Entscheidung sein kann, nicht sofort zu patchen. Allerdings kann man nicht immer davon ausgehen, dass Angreifer keinen Weg zur Authentifizierung im System finden und dann die Schwachstelle ausnutzen können.
Anzeige
ZDI sieht aktuell nur die Strategie, Angriffe durch Einschränkung der Interaktionsmöglichkeiten mit Exchange Servern zu begegnen. Wie gut dies für Administratoren in Unternehmen umsetzbar ist, ist eine andere Sache. Damit liegt der Ball im Feld der Administratoren, da auch Microsoft gemäß nachfolgendem Statement nicht sagt, wann mit Patches zu rechnen ist, da die Schwachstellen als nicht so gravierend, dass sofortiges Handeln erforderlich ist, eingestuft wurden.
Microsofts Stellungnahme dazu
Ein Microsoft-Sprecher hat sich gegenüber Bleeping Computer derart geäußert, dass man zwar die Arbeit der Sicherheitsforscher, die die Schwachstellen entdeckt und im Vorfeld gemeldet haben, begrüße. Man sei auch bestrebt, die notwendigen Schritte zu unternehmen, um seine Kunden zu schützen. Bei der Prüfung der Berichte habe man aber festgestellt, dass die Schwachstellen entweder bereits behoben wurden (wohl in den letzten Sicherheitsupdates) oder gemäß den Microsoft Richtlinien zur Einstufung des Schweregrads von Schwachstellen nicht die Voraussetzungen für eine sofortige Behebung erfüllen. Microsofts Entwickler werden daher werden prüfen, ob sie in künftigen Produktversionen und -updates behoben werden können.
Anzeige
Klassische Backdoor für Nutzung durch sonstige Backdoors?
Auf jeden Fall etwas, dass man patchen sollte. Es reicht ja ein PC eines beliebigen Users, welcher Zugriff auf sein Exchange Postfach hat. Damit ist Authentifizierung gegeben und eine Malware freut sich über einen Ansatzpunkt für die weitere Ausbreitung im Netzwerk.
[..] "gemäß den Microsoft Richtlinien zur Einstufung des Schweregrads von Schwachstellen nicht die Voraussetzungen für eine sofortige Behebung erfüllen" [..]
Klingt für mich nach eine Offenbarungseid. Und nach "wir haben viel zu viele super kritische Sicherheitslücken offen, um das auch noch flicken zu können".
Faszinierende Kommunikation, die Microsoft da an den Start bringt.
Das Problem sind die absichtlichen Lücken, die weiterhin benötigt bzw. passend ersetzt werden müssen, nationale Sicherheit und so.
Microsoft schafft es, mich als alten User, bald 65, angefangen mit WIN 3.1, WIN 10 zu deinstallieren und zu Google oder Linux zu bringen!
Trend Micro hat auf jeden Fall im Gegensatz zu MS reagiert und für die Lücken virtuelle Patche rausgebracht..
Die IPs wurden am Freitag veröffentlicht und steht TM Kunden mit entsprechenden Software bereit.