Technische Unterstützung
Dokumentation
Anmeldung
Kontakt
Microsoft Exchange Zero-Day-Schwachstellen gefährden 22.000 Server
11. Oktober 2022. TuxCare PR Team
Microsoft hat bekannt gegeben, dass zwei kritische Sicherheitslücken in seiner Exchange-Anwendung von Angreifern ausgenutzt werden. Das Unternehmen erklärte außerdem, dass mehr als 22.000 Server weltweit betroffen sind.
"Derzeit sind Microsoft nur wenige gezielte Angriffe bekannt, bei denen die beiden Schwachstellen genutzt werden, um in die Systeme der Benutzer einzudringen. Bei diesen Angriffen kann CVE-2022-41040 einem authentifizierten Angreifer ermöglichen, CVE-2022-41082 aus der Ferne auszulösen", schrieben Mitglieder des Microsoft Security Response Center-Teams.
Zu den neuen Sicherheitslücken gehören CVE-2022-41040, eine Schwachstelle in der serverseitigen Anforderungsfälschung, und CVE-2022-41082, die Remotecodeausführung ermöglicht, wenn der Angreifer Zugriff auf PowerShell hat.
Die Sicherheitslücke betrifft Exchange-Server vor Ort und nicht den Microsoft Exchange-Dienst. Viele Unternehmen nutzen jedoch das Cloud-Angebot von Microsoft mit einem Angebot, das eine Mischung aus lokaler und Cloud-Hardware verwendet.
Nach Angaben von o GSTC nutzen Angreifer den Zero-Day aus, um Server mit Webshells zu infizieren, einer Textschnittstelle, über die sie Befehle erteilen können. Die Webshells des Unternehmens enthalten vereinfachte chinesische Zeichen, was darauf schließen lässt, dass die Hacker fließend Chinesisch sprechen.
Die ausgegebenen Befehle tragen auch die Signatur des China Chopper, einer Webshell, die häufig von chinesischsprachigen Bedrohungsakteuren verwendet wird, darunter auch von fortgeschrittenen, dauerhaften Bedrohungsgruppen, die von der Volksrepublik China unterstützt werden.
Die installierte Malware emuliert den Exchange Web Service von Microsoft und verbindet sich außerdem mit der IP-Adresse 137[.]184[.]67[.]33, die binär verschlüsselt ist.
Die Malware sendet und empfängt dann Daten, die mit einem RC4-Schlüssel verschlüsselt sind, der zur Laufzeit generiert wird.
Allen, die Exchange-Server vor Ort betreiben, wird empfohlen, sofort Maßnahmen zu ergreifen und eine Sperrregel anzuwenden, die verhindert, dass Server bekannte Angriffsmuster akzeptieren. Die Regel kann unter "IIS Manager > Default Web Site > URL Rewrite > Actions" angewendet werden.
Microsoft empfiehlt außerdem, dass Benutzer den HTTP-Port 5986 blockieren, den Angreifer ausnutzen müssen, um CVE-2022-41082 zu verwenden. Es ist wichtig, dass Unternehmen weitere Sicherheitsmaßnahmen ergreifen, um zu verhindern, dass ihre Server von Angreifern ausgenutzt werden.
Zu den Quellen für diesen Beitrag gehört ein Artikel in ArsTechnica.
