Jump to content

Zero-day Vulnerabilities in Microsoft Exchange Server


Recommended Posts

Hallo,

 

über heise sind wir auf folgende Quelle gestoßen:

https://gteltsc.vn/blog/warning-new-attack-campaign-utilized-a-new-0day-rce-vulnerability-on-microsoft-exchange-server-12715.html#:~:text=Temporary containment measures

 

Dann haben wir die von Microsoft gefunden:

https://msrc-blog.microsoft.com/2022/09/29/customer-guidance-for-reported-zero-day-vulnerabilities-in-microsoft-exchange-server/ 

 

Es gibt nur eine kleinere Abweichung in der Konfiguration:

 

Bei Microsoft steht in der URL Rewrite Regel Using: Wildcards

Und bei GTSC (auf die heise heute morgen verwiesen hat) steht Using: Regular Expressions

 

Kann Jemand beurteilen in wieweit diese Einstellung für eine erfolgreiche Blockierung relevant ist?

 

Danke!

 

 

Ergänzung: insofern die Ports 5985 und 5986 (remote PowerShell) nicht nach außen offen sind, kann das wohl wenn überhaupt nur von intern ausgenutzt werden ... somit ist der Angriffsvektor deutlich eingeschränkt

Edited by Ebenezer
Link to comment
vor einer Stunde schrieb Ebenezer:
 

Ergänzung: insofern die Ports 5985 und 5986 (remote PowerShell) nicht nach außen offen sind, kann das wohl wenn überhaupt nur von intern ausgenutzt werden ... somit ist der Angriffsvektor deutlich eingeschränkt

Das ist ein Trugschluss. Remote PowerShell zu *Exchange* geht über einen Web-Endpoint, somit 443 oder sogar 80.

Link to comment
vor 1 Stunde schrieb Ebenezer:
 

Bei Microsoft steht in der URL Rewrite Regel Using: Wildcards

Und bei GTSC (auf die heise heute morgen verwiesen hat) steht Using: Regular Expressions

 

Kann Jemand beurteilen in wieweit diese Einstellung für eine erfolgreiche Blockierung relevant ist?

 

Moin,

 

das würde mich allerdings auch interessieren - für welche Konfiguration habt Ihr euch entschieden bzw. welche ist die gültige?

Link to comment

Wie ist dann das hier zu verstehen:

 

Authenticated attackers who can access PowerShell Remoting on vulnerable Exchange systems will be able to trigger RCE using CVE-2022-41082. Blocking the ports used for Remote PowerShell can limit these attacks. 

  • HTTP: 5985 
  • HTTPS: 5986

Quelle: https://msrc-blog.microsoft.com/2022/09/29/customer-guidance-for-reported-zero-day-vulnerabilities-in-microsoft-exchange-server/ 

Link to comment

OK, es sind ZWEI Vulnerabilities in einem Blog-Beitrag :-) Die zweite könnte tatsächlich den normalen PowerShell-Endpoint nutzen - hier liegen im Moment noch keine Details vor. Andererseits sollte das WinRM-basierte Remoting ja erst recht nur für andere Exchange-Server oder Management-Workstations erreichbar sein, hier ist der Angriffsvektor in wohlgemanagten Systemen tatsächlich eher beschränkt. 

  • Thanks 1
Link to comment

Hallo,

 

ich habe die Exchange Regel auch manuell hinzugefügt, und habe mir dann noch was zu dem EEMS durchgelesen.

Nun habe ich entdeckt, dass es im IIS auf der Default Web Site diese EEMS Regel anscheinend gibt. Diese wurde nicht manuell hinzugefügt.

 

Microsoft schreibt, dass es einen Windows Dienst geben soll, den ich aber nicht finde. Jedenfalls finde ich nichts zu "EEMS".

 

Würde gerne wissen, ob EEMS damit enabled ist oder ich hier daneben liege. So wie ich das jetzt sehe, ist EEMS laut dem Bild enabled und ich kann meine manuell hinzugefügte Regel wieder entfernen?

 

Danke

Exchange_ZeroDay.PNG

 

Edit:

Ich hab jetzt doch dank Powershell Abfrage durch die englische Bezeichnung entdeckt, dass der EEMS Dienst (auf deutsch MS Exchange Notfallschutzdienst) ausgeführt wird.

 

Daher gehe ich davon aus, dass die Sicherheitslücke durch die automatisch erstellte Regel damit von alleine erledigt wurde.

Edited by LK28
Link to comment
vor 11 Stunden schrieb LK28:

Microsoft schreibt, dass es einen Windows Dienst geben soll, den ich aber nicht finde. Jedenfalls finde ich nichts zu "EEMS".

 

im deutschsprachigen System "Microsoft Exchange Notfallminderungsdienst". Englisch Microsoft Exchange Mitigation Service. ;)

vor 11 Stunden schrieb LK28:

Daher gehe ich davon aus, dass die Sicherheitslücke durch die automatisch erstellte Regel damit von alleine erledigt wurde.

Ja, aber da wurde schon wieder was geändert. Also lieber nochmal prüfen. die manuell erzeugten Regeln kannst du dann ggf. löschen.

Link to comment

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...