Microsoft: Zero-Day-Lücken in Exchange Server werden aktiv genutzt
Microsoft bestätigt die Angaben zu gleich zwei kürzlich veröffentlichten Zero-Day-Angriffen auf Exchange Server. Die Sicherheitslücken CVE-2022-41040(öffnet im neuen Fenster) und CVE-2022-41082(öffnet im neuen Fenster) können aktiv ausgenutzt werden.
"Aktuell sind Microsoft wenige gezielte Angriffe durch diese beiden Sicherheitslücken bekannt" , schreibt das Unternehmen in einem Infobeitrag(öffnet im neuen Fenster) . Betroffen sind demnach die Dienste Microsoft Exchange Server 2013, 2016 und 2019.
CVE-2022-41040 zeichnet sich durch Server-Side Request Forgery (SSRF) aus. Dabei kann eine auf dem Server installierte Applikation zu bestimmten Anfragen an eine nicht vorhergesehene Stelle, etwa die Infrastruktur der angreifenden Partei, gezwungen werden. Durch die eine Sicherheitslücke ist zudem das Ausführen von Schadcode (Remote Code Execution) mittels CVE-2022-41082 möglich. Die aktuellen Zero-Day-Lücken funktionieren laut Microsoft aber nur mit einem am Server authentifizierten Konto.
Microsoft hilft per Skript
Das Unternehmen arbeitet bereits an einem Fix für das Problem. Bis dahin sollen sich Kunden keine Sorgen machen. "Wir stellen Risikominderungen und die nachstehenden Erkennungsleitfäden bereit, um Kunden zu helfen" , heißt es. Exchange Server habe automatisierte Erkennungssysteme für diese Art von Angriff, zusammengefasst unter dem Exchange Mitigation Service (EMS).
Kunden, die den EMS-Dienst nicht nutzen, können sich bei Microsoft ein Skript herunterladen(öffnet im neuen Fenster) und es auf dem Server ausführen. Das Skript sucht nach der aktuellen Version des Exchange On-Premises Mitigation Tool und lädt dieses herunter. Das Tool konfiguriert eine URL-Umleitung, um Angriffe durch CVE-2022-41040 und die darauf aufbauende CVE-2022-41082 zu verhindern.