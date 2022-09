Angreifer nutzen offenbar zwei neue Sicherheitslücken in Exchange Server, für die es bislang keinen Patch gibt und die ihnen eine Codeausführung aus der Ferne ermöglichen. Im Rahmen der Attacken verschaffen sich die Hacker per Webshell dauerhaften Zugang zu den Servern. Doch gibt es für Admins zumindest einen Workaround, um die Angriffe abzuwehren.

Forscher des vietnamesischen Security-Unternehmens GTSC haben die Schwachstellen zuerst entdeckt [1] und bereits an Microsoft gemeldet. Geschlossen wurden diese jedoch bislang noch nicht und noch nicht mit einer CVE-Nummer versehen. Auch Trend Micro hat die Schwachstellen bestätigt und eine entsprechende Erkennung in seine Security-Produkte eingefügt.



Der Angriff erfolgt über eine ProxyShell-Autodiscover-Anfrage, die sich immerhin über eine IIS-Serverregel blockieren lässt. Hierfür müssen Admins im URL-Rewrite-Modul den URL-Pfad um den String .*autodiscover\.json.*\@.*Powershell.* ergänzen und als Condition-Input Choose {REQUEST_URI} verwenden. Um zu prüfen, ob der eigene Exchange-Server bereits angegriffen wurde, können IT-Verantwortliche über den folgenden PowerShell-Befehl in den IIS-Logdateien nach entsprechenden Hinweisen suchen:





Get-ChildItem -Recurse -Path <Path_IIS_Logs> -Filter "*.log" | Select-String -Pattern 'powershell.*autodiscover\.json.*\@.*200'





Weiterführende Informationen sowie eine technische Einschätzung zu den Lücken liefert zudem der Security-Experte Kevin Beaumont in seinem Blog [2].