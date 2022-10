Frank Ziemann

Zwei bis dahin unbekannte Schwachstellen in Microsoft Exchange Server werden bereits für Angriffe genutzt. Ein Sicherheits-Update gibt es noch nicht, nur einen Workaround.

Vergrößern Angriffe auf Exchange Server. © Microsoft

Wenn Sie für einen oder mehrere Exchange Server verantwortlich sind, sollten Sie in den nächsten Tagen darauf achten, ob Microsoft ein Sicherheits-Update außer der Reihe bereitstellt. Denn Sicherheitsforscher haben Angriffe auf zwei bis dahin noch nicht bekannte Schwachstellen in Microsoft Exchange Server 2013, 2016 und 2019 festgestellt. In Anlehnung an die 0-Day-Lücke „ProxyShell“ aus dem Sommer 2021 hat ein Forscher den Namen „ProxyNotShell“ vorgeschlagen. Microsoft hat die Berichte inzwischen bestätigt, jedoch offenbar noch keine wirksamen Gegenmittel im Angebot.



Sicherheitsexperten des vietnamesischen IT-Unternehmens GTSC haben Attacken mutmaßlich chinesischer Akteure auf Exchange Server beobachtet. Microsoft hat zwei neue Sicherheitslücken bestätigt : CVE-2022-41040 und CVE-2022-41082. Erstere (Server-Side Request Forgery – SSRF) ermöglicht es einem angemeldeten Angreifer, sich höhere Berechtigungen zu verschaffen. Letztere kann genutzt werden, um aus der Ferne Code einzuschleusen und auszuführen (Remote Code Execution – RCE). Die Angreifer setzen Exploit-Code für beide Schwachstellen in Kombination ein.



Microsoft sagt, es handele sich bislang um begrenzte, gezielte Angriffe. Kunden von Exchange Online seien nicht betroffen. Ein von von Microsoft bereitgestelltes Shell-Skript soll einen Workaround einrichten, um die Exchange Server zu schützen. Unabhängige Sicherheitsforscher berichten allerdings, dass dieser Schutz nicht ausreiche. Microsoft empfiehlt daher inzwischen zusätzlich, normalen Benutzern den Zugriff über das Netzwerk auf die Powershell zu sperren.



Wann Microsoft Sicherheits-Updates anbieten kann, ist noch nicht bekannt. Am kommenden Dienstag, 11. Oktober, ist Patch Day – vielleicht klappt es ja schon vorher.