Aufgrund von Angriffen und bislang fehlenden Patches sollten Admins Exchange Server über einen Workaround absichern.

Sicherheitsforscher warnen, dass Angreifer derzeit zwei Zero-Day-Lücken in Microsoft Exchange Server ausnutzen. Sicherheitsupdates sind bislang nicht verfügbar. Es gibt aber einen Workaround.

Schadcode-Attacken

Auf die Attacken sind Sicherheitsforscher von GTSC gestoßen. Ihre Erkenntnisse haben sie in einem Bericht zusammengefasst. Ihnen zufolge sollen Angreifer aus dem chinesischen Umfeld Exchange Server erfolgreich attackieren und sich über Hintertüren in Systemen einnisten. Nach erfolgreichen Attacken sei die Ausführung von Schadcode möglich. Außerdem diene die erarbeitete Position als Ausgangspunkt zur Ausbreitung in weitere Systeme.

Mittlerweile haben weitere Sicherheitsforscher, darunter auch Trend Micros Zero Day Initiative (ZDI), die Lücken und Attacken bestätigt. Microsoft hat bislang keine Stellung bezogen.

Server absichern

Wann Sicherheitspatches erscheinen, ist noch unklar. Um Systeme aber jetzt schon zu schützen, haben die Sicherheitsforscher von GTSC einen temporären Workaround entwickelt, um Anfragen zum Einleiten der Attacke zu blocken. Dafür müssen Admins unter Autodiscover im Tab URL Rewrite eine Request-Blocking-Regel mit dem Inhalt

.*autodiscover\.json.*\@.*Powershell.*

im URL Path erstellen. Als Condition input müssen sie {REQUEST_URI} wählen.

Mit folgendem PowerShell-Kommando können Admins prüfen, ob Server bereits kompromittiert sind.

Get-ChildItem -Recurse -Path <Path_IIS_Logs> -Filter "*.log" | Select-String -Pattern 'powershell.*autodiscover\.json.*\@.*200'