Am 28. September 2022 wurden zwei neue Zero-Day-Exploit in Microsoft Exchange Server bekannt, die bereits aktiv ausgenutzt werden. Betroffen sind dabei On-Premise Installationen von Exchange Server in den Versionen 2013, 2016 und 2019. Mit Ausnutzung der Schwachstellen kann sich ein Angreifer “SYSTEM”-Rechte auf den Exchange Servern verschaffen. Voraussetzung hierfür ist ein authentifizierter Zugriff auf den Server. Zum aktuellen Zeitpunkt gibt es kein Patch, der die Schwachstellen (CVE-2022-41040, CVE-2022-41082) schließt. Verantwortliche müssen Maßnahmen ergreifen, um eine Ausnutzung der Schwachstellen zu verhindern. Nähere Informationen und laufende Aktualisierungen hinsichtlich der Schwachstellen stellt Microsoft in einem Blogartikel zur Verfügung.
Maßnahmen zum Schutz
Die Umsetzung beider Maßnahmen bietet laut Hersteller ausreichenden Schutz gegen die Schwachstellen. Eine Neustart der Server ist nicht notwendig, Exchange bleibt ohne Unterbrechungen verfügbar.
Maßnahme 1
Zur Absicherung gegen die Zero-Day-Lücke hat Microsoft das Exchange On-premises Mitigation Tool v2 (EOMTv2) zur Verfügung gestellt, welches eine Ausnutzung der Schwachstelle über eine URL Rewrite Regel verhindert. Das PowerShell Skript muss auf jedem Server mittels einer administrativen PowerShell-Sitzung ausgeführt werden.
Die URL Rewrite Regel kann ebenfalls händisch über den IIS Manager angelegt werden. Hierfür sind die folgenden Schritte auszuführen:
- IIS Manager öffnen
- “Default Web Site” auswählen
- In der Feature Übersicht auf “URL Rewrite” klicken
- In der Aktion-Spalte auf “Regel hinzufügen” klicken
- “Request Blocking” auswählen und OK klicken
- Die Zeichenkette “(?=.*autodiscover)(?=.*powershell)” (ohne Anführungszeichen) einfügen, in den Auswahlmenü “Regular Expression” und “Abort Request” einstellen, dann OK klicken
- Die neue Regel unter “Bedingungen” editieren
- Die Bedingung von {URL} zu {UrlDecode:{REQUEST_URI}} ändern, dann OK
Sofern in Exchange der Exchange Emergency Mitigation Service (EEMS) aktiv ist, aktiviert dieser automatisch die URL Rewrite Regel im IIS, die vor dem Angriff schützt. In diesem Fall muss nichts weiter getan werden. Der EEMS wurde mit dem kumulativen Update für Exchange Server im September 2021 bereitgestellt.
Maßnahme 2
Zur Ausnutzung dieser Schwachstelle benötigt der Angreifer Zugriff über PowerShell Remoting. Der Hersteller empfiehlt den Remotezugriff mittels PowerShell für nicht-administrative Benutzer zu deaktivieren.
Die Syntax zur Deaktivierung mittels PowerShell ist wie folgt:
Für einen einzelnen User
Set-User "Max Mustermann" -RemotePowerShellEnabled $false
Für mehrere User
# 1. Benutzer mittels Filter sammeln, dazu <Filter> ersetzen
$var = Get-User -ResultSize Unlimited -Filter <Filter>
# 2. Zugriff für die gefilterten Benutzer deaktivieren
$var | foreach {Set-User -Identity $_ -RemotePowerShellEnabled $false}