{"id":273442,"date":"2022-10-01T11:52:23","date_gmt":"2022-10-01T09:52:23","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=273442"},"modified":"2022-10-11T16:57:43","modified_gmt":"2022-10-11T14:57:43","slug":"neues-zur-exchange-server-0-day-schwachstelle-zdi-can-18333-korrekturen-scripte-und-ep-lsung","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/10\/01\/neues-zur-exchange-server-0-day-schwachstelle-zdi-can-18333-korrekturen-scripte-und-ep-lsung\/","title":{"rendered":"Neues zur Exchange Server 0-day-Schwachstelle ZDI-CAN-18333: Korrekturen, Scripte und EMS-Lösung"},"content":{"rendered":"

\"Exchange[English<\/a>]Ende September wurde ja die 0-Day-Schwachstelle ZDI-CAN-18333 in Microsofts On-Premises Exchange Servern (2013, 2016 und 2019) bekannt, und die Schwachstellen (CVE-2022-41040, CVE-2022-41082) werden bereits in freier Wildbahn ausgenutzt. Nun hat Microsoft reagiert und rollt per EMS URI Rewrite Regeln zum Schutz aus. Weiterhin wurden Fehler in den zwischenzeitlich ver\u00f6ffentlichten Microsoft-Supportbeitr\u00e4gen korrigiert, und es gibt Scripte zur Pr\u00fcfung und Absicherung von Exchange-Installationen. Hier ein \u00dcberblick \u00fcber die neuesten Entwicklungen.<\/p>\n

<\/p>\n

Die 0-day-Schwachstelle ZDI-CAN-18333<\/h2>\n

\"\"Zum 29. September 2022 hatte ich im Blog-Beitrag Exchange Server werden \u00fcber 0-day Exploit angegriffen (29. Sept. 2022)<\/a> \u00fcber die 0-day-Schwachstelle ZDI-CAN-18333 berichtet. Microsoft Exchange Server 2013, 2016 und 2019 werden durch zwei ungepatchte Zero-Day-Schwachstellen CVE-2022-41040 (Server-Side Request Forgery) und CVE-2022-41082 (Remote Code Execution per PowerShell) gef\u00e4hrdet.<\/p>\n

Allerdings ben\u00f6tigt ein Angreifer einen authentifizierten Zugriff auf den anf\u00e4lligen Exchange Server, um eine der beiden Sicherheitsl\u00fccken erfolgreich auszunutzen. Microsoft hatte dann am 29. September 2022 einen Supportbeitrag mit Hinweisen zur Erkennung eines erfolgreichen Angriffs sowie zum Schutz gegen solche Attacken ver\u00f6ffentlicht. Ich hatte im Blog-Beitrag Microsofts Empfehlungen f\u00fcr die Exchange Server 0-day-Schwachstelle ZDI-CAN-18333<\/a> berichtet.<\/p>\n

Allerdings stellte sich schnell heraus, dass die Microsoft-Angaben zur Abschw\u00e4chung des Angriffs fehlerhaft waren. Blog-Leser haben diesbez\u00fcglich einige Kommentare in den oben verlinkten Blog-Beitr\u00e4gen hinterlassen. Daher war die Blog-Leserschaft in der Lage, erfolgreich die URI Rewrite-Regel f\u00fcr Exchange Server zu setzen.<\/p>\n

Microsofts Korrekturen<\/h2>\n

Blog-Leser Robert weist in diesem Kommentar<\/a> darauf hin, dass Microsoft seine (fehlerhaften) Angaben zur Abschw\u00e4chung der URI Rewrite-Pattern korrigiert habe.<\/p>\n

Kurzes Update: es tut sich was bei Microsoft\u2026<\/p>\n

Es wurde ein Powershell Script von MS released, welches alles automatisch macht.<\/p>\n

Ausserdem hat MS nun die Sache mit den RegEx endlich korrigiert und hat nun auch die Absicherung ERWEITERT: betrifft nicht mehr nur das Virt. Dir. Autodiscover, sondern MS wendet die URL Rewrite nun auf die KOMPLETTE Default WebSite an.<\/p><\/blockquote>\n

Microsoft hat dazu am 30. September 2022 den Blog-Beitrag Customer Guidance for Reported Zero-day Vulnerabilities in Microsoft Exchange Server<\/a> nochmals grundlegend \u00fcberarbeitet. So wurde ein Link zum Artikel Analyzing attacks using the Exchange vulnerabilities CVE-2022-41040 and CVE-2022-41082<\/a> eingef\u00fcgt, der am 30. September 2022 im Microsoft Security-Blog ver\u00f6ffentlicht wurde. Dort findet sich eine weitere Analyse der Schwachstellen und der davon ausgehenden Bedrohungen.\"Exchange:
\nExchange: 0-day Angriff per Schwachstelle ZDI-CAN-18333<\/p>\n

Angreifer ben\u00f6tigen eine Authentifizierung, um eine sch\u00e4dliche http-Anfrage auf Port 443 an Exchange zu sehen. Dann k\u00f6nnen Sie die beiden Schwachstellen ausnutzen, um eine Web-Shell als Backdoor zu installieren und weitere Aktivit\u00e4ten auszuf\u00fchren. In obigem Artikel gibt es nun weitere Hinweise zur Abschw\u00e4chung der beiden Sicherheitsl\u00fccken sowie den Hinweis, dass der Windows Defender for Endpoint nun die Aktivit\u00e4ten nach dem initialen Angriff erkenne. Zudem unterst\u00fctzt das in Exchange eingef\u00fchrte Antimalware Scan Interface (AMSI) <\/em>die Erkennung der Schadfunktionen. Allerdings d\u00fcrfte AMSI auf einigen Exchange-Systemen wegen Problemen (siehe Exchange 2016\/2019: Outlook-Probleme durch AMSI-Integration<\/a>) deaktiviert sein.<\/p>\n

EMS setzt Blockierungsregel automatisch<\/h3>\n

Microsoft hatte im September 2021 den Exchange Server Emergency Mitigation Service (EMS) per CU eingef\u00fchrt (siehe Exchange Server September 2021 CU kommt zum 28.9.2021 mit Microsoft Exchange Emergency Mitigation Service<\/a>). Dieser sollte Microsoft erm\u00f6glichen, dynamisch auf Bedrohungen durch 0-day Schwachstellen zu reagieren, indem z.B. automatisch URI Rewrite-Regeln zum Blockieren von Angriffen gesetzt werden (siehe auch diesen Microsoft-Beitrag<\/a>).<\/p>\n

Hier im Blog war in Kommentaren mehrfach gefragt worden, warum Microsoft diesen Mechanismus nicht verwende. Ich hatte darauf verwiesen, dass die Entwickler da ggf. ein paar Stunden Zeit ben\u00f6tigen, um die entsprechenden Regeln zu implementieren und zu testen. Das ist nun wohl passiert. Gero schrieb bereits heute morgen (1. Oktober 2022) in diesem Kommentar<\/a>:<\/p>\n

Guten Morgen,<\/p>\n

auf unserem 2016er hat der EM-Service heute Nacht die Regel auf der Default Web Site automatisch erstellt.<\/p>\n

Na endlich\u2026.<\/p><\/blockquote>\n

Microsoft hat hier best\u00e4tigt<\/a>, dass die betreffende Funktionalit\u00e4t f\u00fcr Kunden, die EMS auf ihrem Exchange verwenden, automatisch zum Schutz ausgerollt wird.<\/p>\n

For customers who have the Exchange Server Emergency Mitigation Service (EMS) enabled, Microsoft released the URL Rewrite mitigation for Exchange Server 2016 and Exchange Server 2019. The mitigation will be enabled automatically. Please see this blog post<\/a> for more information on this service and how to check active mitigations.<\/p><\/blockquote>\n

Gilt f\u00fcr f\u00fcr Exchange Server 2016 und Exchange Server 2019 mit aktiviertem EMS. Dort wird die URL Rewrite-Blockierregel automatisch ausgerollt und aktiviert. Sofern die Regel manuell eingerichtet wurde, sollte gepr\u00fcft werden, ob da was korrigiert wurde.<\/p>\n

Schutz per Script installieren<\/h3>\n

Blog-Leser Robert hatte in seinem oben erw\u00e4hnten Kommentar<\/a> darauf hingewiesen, dass Microsoft zudem ein PowerShell-Script bereitstelle, welches die URL Rewrite-Blockierregel automatisch im Exchange eintr\u00e4gt. Microsoft hat das PowerShell-Script, welches die Schritte zur URL Rewrite-Blockierregel – zwecks Abschw\u00e4chung der Sicherheitsl\u00fccken – automatisch durchf\u00fchrt hier ver\u00f6ffentlicht<\/a>. Im Artikel Exchange On-premises Mitigation Tool v2 (EOMTv2)<\/a> finden sich entsprechende Hinweise, was das Script zum Schutz gegen die Sicherheitsl\u00fccken alles macht und welche Voraussetzungen erforderlich sind. Das PowerShell-Script besitzt auch eine Rollback-Funktion, um die sogenannte Mitigation (Abschw\u00e4chung) wieder zur\u00fcckzunehmen.<\/p>\n

Ein 0-day-Checker-Tool<\/h2>\n

Das Viet Nam Cybersecurity Emergency Response Teams\/Coordination Center (VNCERT\/CC) hat zudem ein 0-day-Checker-Tool ver\u00f6ffentlicht, mit dem man einen Exchange Server auf die Ausnutzbarkeit der Schwachstellen pr\u00fcfen kann. Dies geht aus nachfolgendem Tweet<\/a> hervor:<\/p>\n

\"Exchange<\/a><\/p>\n

Das Projekt l\u00e4uft unter MIT-Lizenz und ist auf GitHub<\/a> abrufbar. Es muss allerdings jeder selbst entscheiden, ob er die bereitgestellten .exe-Dateien aus dieser Quelle auf seinem Exchange Server ausf\u00fchrt. Virustotal meldet keine Funde und das VNCERT-CC hat den Quellcode des Checker-Tools ver\u00f6ffentlicht.<\/p>\n

Erg\u00e4nzung:<\/strong> Es gibt neue Korrekturen – siehe Exchange Server: Microsofts bessert L\u00f6sungen f\u00fcr 0-day-Schutz nach (5. Oktober 2022)<\/a><\/p>\n

Artikelreihe:<\/strong>
\nExchange Server werden \u00fcber 0-day Exploit angegriffen (29. Sept. 2022)<\/a>
\nMicrosofts Empfehlungen f\u00fcr die Exchange Server 0-day-Schwachstelle ZDI-CAN-18333<\/a>
\nNeues zur Exchange Server 0-day-Schwachstelle ZDI-CAN-18333: Korrekturen, Scripte und EMS-L\u00f6sung<\/a>
\nExchange Server: Microsofts 0-day-Schutz aushebelbar, neue Einsch\u00e4tzungen (3. Oktober 2022)<\/a>
\nExchange Server: Microsofts bessert L\u00f6sungen f\u00fcr 0-day-Schutz nach (5. Oktober 2022)<\/a>
\nExchange Server: Microsofts bessert L\u00f6sungen f\u00fcr 0-day-Schutz nach (8. Oktober 2022)<\/a><\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nExchange 2016\/2019: Outlook-Probleme durch AMSI-Integration<\/a>
\nExchange Server September 2021 CU kommt zum 28.9.2021 mit Microsoft Exchange Emergency Mitigation Service<\/a>
\nExchange: Extended Protection, Checkliste und Probleme<\/a>
\nUpdate f\u00fcr Exchange Extended Protection-Script, aber weiterhin Fehler<\/a>
\nExchange Health Checker \u2013 Script-Erweiterungen von Frank Z\u00f6chling<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Ende September wurde ja die 0-Day-Schwachstelle ZDI-CAN-18333 in Microsofts On-Premises Exchange Servern (2013, 2016 und 2019) bekannt, und die Schwachstellen (CVE-2022-41040, CVE-2022-41082) werden bereits in freier Wildbahn ausgenutzt. Nun hat Microsoft reagiert und rollt per EMS URI Rewrite Regeln zum … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,7459,2557],"tags":[5359,4328],"class_list":["post-273442","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-software","category-windows-server","tag-exchange","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/273442","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=273442"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/273442\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=273442"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=273442"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=273442"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}