{"id":273305,"date":"2022-09-30T01:24:35","date_gmt":"2022-09-29T23:24:35","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=273305"},"modified":"2022-11-16T08:54:48","modified_gmt":"2022-11-16T07:54:48","slug":"exchange-server-werden-ber-0-day-exploit-angegriffen-29-sept-2022","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/09\/30\/exchange-server-werden-ber-0-day-exploit-angegriffen-29-sept-2022\/","title":{"rendered":"Exchange Server werden über 0-day Exploit angegriffen (29. Sept. 2022)"},"content":{"rendered":"

\"Exchange[English<\/a>]Unsch\u00f6ner Sachverhalt f\u00fcr Administratoren und Betreiber einer On-Premises Microsoft Exchange-Server-Installation. Es gibt Berichte, dass ein neuer Zero-Day in Microsoft Exchange existiert, der aktiv in freier Wildbahn ausgenutzt wird. Sicherheitsforscher best\u00e4tigen, dass einige Installationen – einschlie\u00dflich eines Honeypots – bereits infiziert sind. Details zum Zero-Day liegen noch nicht vor. Hier ein \u00dcberblick, was mir bisher bekannt ist und was man ggf. unternehmen kann, um Angriffe zu entdecken. Erg\u00e4nzung:<\/strong> Microsoft hat einige Informationen ver\u00f6ffentlicht, die ich in einem Folgebeitrag zusammen gefasst habe.<\/p>\n

<\/p>\n

\"\"Ich bin vor wenigen Minuten \u00fcber Twitter<\/a> auf den Sachverhalt gesto\u00dfen. Sicherheitsforscher Kevin Beaumont warnt vor einer potentiellen Gefahr, die Exchange Servern durch einen Zero-Day-Exploit droht. Parallel traf bereits eine Mail von von Blog-Leser Marco D. ein (danke daf\u00fcr), der mich folgenderma\u00dfen \u00fcber den Sachverhalt informierte:<\/p>\n

Das habe ich eben auf Twitter<\/a> entdeckt, ein Zero Day Exploit f\u00fcr Exchange:<\/p><\/blockquote>\n

\"Exchange<\/a><\/p>\n

Ich kenne die verlinkte vietnamesische Seite nicht, aber der Inhalt schien mir schl\u00fcssig, zumal auch die ZDI-Eintr\u00e4ge existieren.<\/p><\/blockquote>\n

Erste Meldung von GTSC<\/h2>\n

Der Artikel WARNING: NEW ATTACK CAMPAIGN UTILIZED A NEW 0-DAY RCE VULNERABILITY ON MICROSOFT EXCHANGE SERVER<\/a> eines Autors aus Vietnam scheint die erste Quelle zu sein, die das Problem beschreibt. Das Sicherheitsteam des vietnamesischen Cybersicherheitsunternehmen GTSC entdeckte Anfang August 2022 im Rahmen von Sicherheits\u00fcberwachungs- und Incident-Response-T\u00e4tigkeiten, dass eine kritische Infrastruktur angegriffen wurde. Betroffen waren Microsoft Exchange Server der betreffenden Organisationen.<\/p>\n

W\u00e4hrend der Untersuchung stellten die Experten des Blue Teams von GTSC fest, dass der Angriff eine unver\u00f6ffentlichte Exchange-Sicherheitsl\u00fccke, d.h. eine 0-Day-Schwachstelle, ausnutzte. Das Team erstellte unverz\u00fcglich einen Plan f\u00fcr Gegenma\u00dfnahmen, um die Angriffe zu stoppen. Gleichzeitig begann das GTSC Red Teams damit, den dekompilierten Code von Exchange zu untersuchen und zu debuggen, um die Sicherheitsl\u00fccke und den Exploit-Code zu finden.<\/p>\n

Es wurde eine bisher unbekannte Schwachstelle (Zero-Day) gefunden, die sich als so kritisch erwies, dass sie Angreifer eine Remote Code Execution (RCE) auf dem kompromittierten Zielsystem erm\u00f6glicht. GTSC meldete die Schwachstelle sofort an die Zero Day Initiative (ZDI), um mit Microsoft zusammenzuarbeiten. Ziel war es, schnellstm\u00f6glich einen Patch zu erstellen. Die Zero Day Initiative (ZDI) hat 2 Fehler mit den CVSS-Scores 8.8 und 6.3 in Bezug auf den Exploit verifiziert und best\u00e4tigt.<\/p>\n