Cybersecurity für Unternehmen
20. Dezember 2022
Zero-Day-Schwachstellen in Exchange Server
Zero-Day-Schwachstellen in Exchange Server ist am Fr. 30.09.2022 von einen Sicherheitsunternehmen entdeckt wurden. Entsprechende Abwehrmaßnahmen sind vorhanden und sollten schnellstmöglich umgesetzt werden.
Die Sicherheitslücke wird aktiv ausgenutzt.
Wie Sie die Abwehr umsetzen können sehen Sie hier.
Anfang August 2022 entdeckte das SOC-Team von GTSC im Rahmen von Sicherheitsüberwachungs- und Incident-Response-Diensten, dass eine kritische Infrastruktur angegriffen wurde, insbesondere deren Microsoft Exchange-Anwendung.
Informationen werden von seitens Microsoft nicht wirklich offengelegt. Redmond gibt zudem an, dass derzeit nur wenige gezielte Angriffe bekannt sind, die beide Schwachstellen ausnutzen.
Wie Ihr mit ein paar Handgriffen einen Angriff vermeiden könnt zeige ich euch jetzt.
Sie benötigen Fachgerechte Hilfe? Kein Problem
Es muss eine Regel für die Funktion zum Umschreiben von URLs erstellt werden. Wählen Sie dazu zunächst im IIS-Manager das Autodiscover-Verzeichnis für die Standard-Website aus.
Klicken Sie nun auf [URL Rewrite] um in den Regeleditor zu gelangen. Gehen Sie nun auf [Regel(n) hinzufügen].
Nachdem Sie auf [Regel(n) hinzufügen] geklickt haben sehen Sie folgendes Fenster.
Jetz wählen Sie als Vorlage [Anforderungsblockierung] aus.
Im Feld [Muster (URL-Pfad)] tragen Sie folgendes ein. [Update: 04.10.2022]
->
.*autodiscover\.json.*\@.*Powershell.*
-> .*autodiscover\.json.*Powershell.*
Im Feld [Unter Verwendung von] wählen Sie Reguläre Ausdrücke aus.
Die neue erstellte Regel wird nun am + - Zeichen aufgeklappt.
Markieren Sie die aufgeklappte Regel mit der Maus und gehen dann auf [Bearbeiten].
Nun tragen Sie in das Feld Bedingungseingabe folgenden Text ein.
-> {REQUEST_URI}
Jetzt sind wir mit der neuen Regel anlegen fertig. Diese verhindert den aktuellen Angriff.
P.S.: Sobald Microsoft eine Patch für die aktuelle Sicherheitlücke veröffentlicht, spielen Sie diesen bitte ein.
[Update 04.10.2022]
Es wurde erneut festgestellt, dass die in der Rewrite-Regel verwendete Regex umgangen werden konnte.
Ich habe die Regel im oberen Beitrag geändert.
