{"id":287784,"date":"2023-11-04T12:11:26","date_gmt":"2023-11-04T11:11:26","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=287784"},"modified":"2023-11-04T13:44:12","modified_gmt":"2023-11-04T12:44:12","slug":"microsoft-exchange-vier-0-day-schwachstellen-ermglichen-rce-angriffe-und-datenklau","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/11\/04\/microsoft-exchange-vier-0-day-schwachstellen-ermglichen-rce-angriffe-und-datenklau\/","title":{"rendered":"Microsoft Exchange: Vier 0-day-Schwachstellen erm&ouml;glichen RCE-Angriffe und Datenklau"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline; border-width: 0px;\" title=\"Exchange Logo\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2022\/06\/Exchange.jpg\" alt=\"Exchange Logo\" width=\"192\" height=\"168\" border=\"0\" \/>[<a href=\"https:\/\/borncity.com\/win\/2023\/11\/04\/microsoft-exchange-four-0-day-exchange-vulnerabilities-allows-rce-attacs-and-data-thief\/\" target=\"_blank\" rel=\"noopener\">English<\/a>]Die Zero Day Initiative (ZDI) von Trend Micro hat gerade vier ungepatchte Schwachstellen (sogenannte 0-Days) in Microsoft Exchange \u00f6ffentlich gemacht. Diese wurden im September 2023 an Microsoft gemeldet und ZDI stuft die mit CVSS-Scores von 7.1 bis 7.5 ein. Microsofts Sicherheitsexperten sehen die Schwachstellen als nicht so schwerwiegend an, dass diese ein sofortiges Handeln erfordern (zur Ausnutzung sei eine Authentifizierung erforderlich). Die Microsoft-Entwickler haben Fixes \"f\u00fcr sp\u00e4ter\" angek\u00fcndigt. Daher ist die Zero Day Initiative an die \u00d6ffentlichkeit gegangen, da man trotzdem die M\u00f6glichkeit f\u00fcr RCE-Angriffe und Datenklau sieht.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg05.met.vgwort.de\/na\/ff1f99d8b60e44e5a1f640ba6af27a1a\" alt=\"\" width=\"1\" height=\"1\" \/>Ich bin die Nacht \u00fcber den folgenden Tweet auf <a href=\"https:\/\/www.bleepingcomputer.com\/news\/microsoft\/new-microsoft-exchange-zero-days-allow-rce-data-theft-attacks\/\" target=\"_blank\" rel=\"noopener\">diesen Beitrag<\/a> der Kollegen von Bleeping Computer aufmerksam geworden &#8211; die die Details dort zusammen gefasst haben. Ein Blog-Leser hat mich heute fr\u00fch zudem per Mail auf den Sachverhalt hingewiesen (danke daf\u00fcr).<\/p>\n<p><a href=\"https:\/\/www.bleepingcomputer.com\/news\/microsoft\/new-microsoft-exchange-zero-days-allow-rce-data-theft-attacks\/\" target=\"_blank\" rel=\"noopener\"><img decoding=\"async\" title=\"Microsoft Exchange Vulnerabilities\" src=\"https:\/\/i.postimg.cc\/qBxDcFYg\/image.png\" alt=\"Microsoft Exchange Vulnerabilities\" \/><\/a><\/p>\n<h2>Vier 0-days in Microsoft Exchange<\/h2>\n<p>Am\u00a0 7. und 8. September 2023 hat die Zero-Day-Initiative (ZDI) von Trend Micro gleich vier bis dahin unbekannte und (zum Meldezeitpunkt) nicht gepatchte Schwachstellen an Microsoft gemeldet. Die Sicherheitsexperten haben die Schwachstellen zwar gegen\u00fcber der Zero-Day-Initiative (ZDI) best\u00e4tigt, sehen diese aber als nicht so gravierend an, um sofort mit Updates zu reagieren. Es sind Fixes \"f\u00fcr sp\u00e4ter geplant\". Die Zero-Day-Initiative (ZDI) sieht dies aber fundamental anders und hat zum 2. November 2023 die nachfolgenden Sicherheitshinweise zu den Schwachstellen ver\u00f6ffentlicht.<\/p>\n<ul>\n<li><a href=\"https:\/\/www.zerodayinitiative.com\/advisories\/ZDI-23-1578\/\" target=\"_blank\" rel=\"noopener\">ZDI-23-1578<\/a>: <em>ChainedSerializationBinder Deserialization of Untrusted Data Remote Code Execution Vulnerability;<\/em> (CVSS-Index 7.5); Ein RCE-Fehler (Remote Code Execution) in der 'ChainedSerializationBinder'-Klasse, bei dem Benutzerdaten nicht ausreichend validiert werden. Erlaubt Angreifern, nicht vertrauensw\u00fcrdige Daten zu deserialisieren. Bei erfolgreicher Ausnutzung kann ein Angreifer beliebigen Code als 'SYSTEM', der h\u00f6chsten Berechtigungsstufe unter Windows, ausf\u00fchren.<\/li>\n<li><a href=\"https:\/\/www.zerodayinitiative.com\/advisories\/ZDI-23-1579\/\" target=\"_blank\" rel=\"noopener\">ZDI-23-1579<\/a>: <em>DownloadDataFromUri Server-Side Request Forgery Information Disclosure Vulnerability; <\/em>(CVSS-Index 7.1); Diese Schwachstelle befindet sich in der Methode \"DownloadDataFromUri\" und ist auf eine unzureichende Validierung eines URI vor dem Ressourcenzugriff zur\u00fcckzuf\u00fchren. Angreifer k\u00f6nnen dies ausnutzen, um auf sensible Informationen von Exchange-Servern zuzugreifen.<\/li>\n<li><a href=\"https:\/\/www.zerodayinitiative.com\/advisories\/ZDI-23-1580\/\" target=\"_blank\" rel=\"noopener\">ZDI-23-1580<\/a>: <em>DownloadDataFromOfficeMarketPlace Server-Side Request Forgery Information Disclosure Vulnerability<\/em>; (CVSS-Index 7.1); Diese Sicherheitsanf\u00e4lligkeit erm\u00f6glicht Remote-Angreifern die Offenlegung vertraulicher Informationen auf betroffenen Installationen von Microsoft Exchange. Um diese Sicherheitsanf\u00e4lligkeit auszunutzen, ist eine Authentifizierung erforderlich.<\/li>\n<li><a href=\"https:\/\/www.zerodayinitiative.com\/advisories\/ZDI-23-1581\/\" target=\"_blank\" rel=\"noopener\">ZDI-23-1581<\/a>: <em>CreateAttachmentFromUri Server-Side Request Forgery Information Disclosure Vulnerability<\/em>; (CVSS-Index 7.1); Diese Sicherheitsanf\u00e4lligkeit erm\u00f6glicht Remote-Angreifern die Offenlegung vertraulicher Informationen auf betroffenen Installationen von Microsoft Exchange. Um diese Sicherheitsanf\u00e4lligkeit auszunutzen, ist eine Authentifizierung erforderlich.<\/li>\n<\/ul>\n<p>Die Ausnutzung der Schwachstellen erfordert &#8211; wie es aktuell ausschaut &#8211; eine Authentifizierung des Angreifers, was der Grund f\u00fcr Microsofts Entscheidung sein kann, nicht sofort zu patchen. Allerdings kann man nicht immer davon ausgehen, dass Angreifer keinen Weg zur Authentifizierung im System finden und dann die Schwachstelle ausnutzen k\u00f6nnen.<\/p>\n<p>ZDI sieht aktuell nur die Strategie, Angriffe durch Einschr\u00e4nkung der Interaktionsm\u00f6glichkeiten mit Exchange Servern zu begegnen. Wie gut dies f\u00fcr Administratoren in Unternehmen umsetzbar ist, ist eine andere Sache. Damit liegt der Ball im Feld der Administratoren, da auch Microsoft gem\u00e4\u00df nachfolgendem Statement nicht sagt, wann mit Patches zu rechnen ist, da die Schwachstellen als nicht so gravierend, dass sofortiges Handeln erforderlich ist, eingestuft wurden.<\/p>\n<h2>Microsofts Stellungnahme dazu<\/h2>\n<p>Ein Microsoft-Sprecher hat sich gegen\u00fcber Bleeping Computer derart ge\u00e4u\u00dfert, dass man zwar die Arbeit der Sicherheitsforscher, die die Schwachstellen entdeckt und im Vorfeld gemeldet haben, begr\u00fc\u00dfe. Man sei auch bestrebt, die notwendigen Schritte zu unternehmen, um seine Kunden zu sch\u00fctzen. Bei der Pr\u00fcfung der Berichte habe man aber festgestellt, dass die Schwachstellen entweder bereits behoben wurden (wohl in den letzten Sicherheitsupdates) oder gem\u00e4\u00df den Microsoft Richtlinien zur Einstufung des Schweregrads von Schwachstellen nicht die Voraussetzungen f\u00fcr eine sofortige Behebung erf\u00fcllen. Microsofts Entwickler werden daher werden pr\u00fcfen, ob sie in k\u00fcnftigen Produktversionen und -updates behoben werden k\u00f6nnen.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Die Zero Day Initiative (ZDI) von Trend Micro hat gerade vier ungepatchte Schwachstellen (sogenannte 0-Days) in Microsoft Exchange \u00f6ffentlich gemacht. Diese wurden im September 2023 an Microsoft gemeldet und ZDI stuft die mit CVSS-Scores von 7.1 bis 7.5 ein. Microsofts &hellip; <a href=\"https:\/\/borncity.com\/blog\/2023\/11\/04\/microsoft-exchange-vier-0-day-schwachstellen-ermglichen-rce-angriffe-und-datenklau\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,7459],"tags":[5418,4328],"class_list":["post-287784","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-software","tag-exchange-server","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/287784","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=287784"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/287784\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=287784"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=287784"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=287784"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}