Jump to content

Zero-day Vulnerabilities in Microsoft Exchange Server


Ebenezer
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

 

über heise sind wir auf folgende Quelle gestoßen:

https://gteltsc.vn/blog/warning-new-attack-campaign-utilized-a-new-0day-rce-vulnerability-on-microsoft-exchange-server-12715.html#:~:text=Temporary containment measures

 

Dann haben wir die von Microsoft gefunden:

https://msrc-blog.microsoft.com/2022/09/29/customer-guidance-for-reported-zero-day-vulnerabilities-in-microsoft-exchange-server/ 

 

Es gibt nur eine kleinere Abweichung in der Konfiguration:

 

Bei Microsoft steht in der URL Rewrite Regel Using: Wildcards

Und bei GTSC (auf die heise heute morgen verwiesen hat) steht Using: Regular Expressions

 

Kann Jemand beurteilen in wieweit diese Einstellung für eine erfolgreiche Blockierung relevant ist?

 

Danke!

 

 

Ergänzung: insofern die Ports 5985 und 5986 (remote PowerShell) nicht nach außen offen sind, kann das wohl wenn überhaupt nur von intern ausgenutzt werden ... somit ist der Angriffsvektor deutlich eingeschränkt

bearbeitet von Ebenezer
Link zu diesem Kommentar
vor einer Stunde schrieb Ebenezer:
 

Ergänzung: insofern die Ports 5985 und 5986 (remote PowerShell) nicht nach außen offen sind, kann das wohl wenn überhaupt nur von intern ausgenutzt werden ... somit ist der Angriffsvektor deutlich eingeschränkt

Das ist ein Trugschluss. Remote PowerShell zu *Exchange* geht über einen Web-Endpoint, somit 443 oder sogar 80.

Link zu diesem Kommentar
vor 1 Stunde schrieb Ebenezer:
 

Bei Microsoft steht in der URL Rewrite Regel Using: Wildcards

Und bei GTSC (auf die heise heute morgen verwiesen hat) steht Using: Regular Expressions

 

Kann Jemand beurteilen in wieweit diese Einstellung für eine erfolgreiche Blockierung relevant ist?

 

Moin,

 

das würde mich allerdings auch interessieren - für welche Konfiguration habt Ihr euch entschieden bzw. welche ist die gültige?

Link zu diesem Kommentar

Wie ist dann das hier zu verstehen:

 

Authenticated attackers who can access PowerShell Remoting on vulnerable Exchange systems will be able to trigger RCE using CVE-2022-41082. Blocking the ports used for Remote PowerShell can limit these attacks. 

  • HTTP: 5985 
  • HTTPS: 5986

Quelle: https://msrc-blog.microsoft.com/2022/09/29/customer-guidance-for-reported-zero-day-vulnerabilities-in-microsoft-exchange-server/ 

Link zu diesem Kommentar

OK, es sind ZWEI Vulnerabilities in einem Blog-Beitrag :-) Die zweite könnte tatsächlich den normalen PowerShell-Endpoint nutzen - hier liegen im Moment noch keine Details vor. Andererseits sollte das WinRM-basierte Remoting ja erst recht nur für andere Exchange-Server oder Management-Workstations erreichbar sein, hier ist der Angriffsvektor in wohlgemanagten Systemen tatsächlich eher beschränkt. 

Link zu diesem Kommentar

Hallo,

 

ich habe die Exchange Regel auch manuell hinzugefügt, und habe mir dann noch was zu dem EEMS durchgelesen.

Nun habe ich entdeckt, dass es im IIS auf der Default Web Site diese EEMS Regel anscheinend gibt. Diese wurde nicht manuell hinzugefügt.

 

Microsoft schreibt, dass es einen Windows Dienst geben soll, den ich aber nicht finde. Jedenfalls finde ich nichts zu "EEMS".

 

Würde gerne wissen, ob EEMS damit enabled ist oder ich hier daneben liege. So wie ich das jetzt sehe, ist EEMS laut dem Bild enabled und ich kann meine manuell hinzugefügte Regel wieder entfernen?

 

Danke

Exchange_ZeroDay.PNG

 

Edit:

Ich hab jetzt doch dank Powershell Abfrage durch die englische Bezeichnung entdeckt, dass der EEMS Dienst (auf deutsch MS Exchange Notfallschutzdienst) ausgeführt wird.

 

Daher gehe ich davon aus, dass die Sicherheitslücke durch die automatisch erstellte Regel damit von alleine erledigt wurde.

bearbeitet von LK28
Link zu diesem Kommentar
vor 11 Stunden schrieb LK28:

Microsoft schreibt, dass es einen Windows Dienst geben soll, den ich aber nicht finde. Jedenfalls finde ich nichts zu "EEMS".

 

im deutschsprachigen System "Microsoft Exchange Notfallminderungsdienst". Englisch Microsoft Exchange Mitigation Service. ;)

vor 11 Stunden schrieb LK28:

Daher gehe ich davon aus, dass die Sicherheitslücke durch die automatisch erstellte Regel damit von alleine erledigt wurde.

Ja, aber da wurde schon wieder was geändert. Also lieber nochmal prüfen. die manuell erzeugten Regeln kannst du dann ggf. löschen.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...