Aktiv ausgenutzt

Zwei Zero-Day-Schwachstellen in Microsoft Exchange

Das BSI warnt vor zwei kritischen Sicherheitslücken in MS Exchange, ein Patch lässt noch auf sich warten. Derweil steht Microsoft erneut in der Kritik.
Von 
CSO | 05. Oktober 2022 14:10 Uhr
Die Sicherheitslücken in Microsoft Exchange betreffen die Versionen von 2013, 2016 und 2019.
Die Sicherheitslücken in Microsoft Exchange betreffen die Versionen von 2013, 2016 und 2019.
Foto: monticello - shutterstock.com

Nachdem Microsoft vergangene Woche in einem Blogbeitrag bestätigte, zwei Schwachstellen in den Exchange-Servern zu untersuchen, hat das BSI diese nun als geschäftskritisch eingestuft. Die Zero-Day-Schwachstellen betreffen die Exchange-Server 2013, 2016 und 2019.

Die Lücken wurden in einigen Fällen bereits gezielt ausgenutzt und sind als Common Vulnerabilities and Exposures gelistet:

  • Bei CVE-2022-41040 handelt es sich um eine sogenannte Server-Side-Request-Forgery-Schwachstelle (SSRF). Hierbei versuchen Cyberkriminelle den Backend-Server einer anfälligen Anwendung dazu zu bringen, böswillige Anfragen auszuführen. Dadurch können Hacker auch andere Systeme infiltrieren, die mit dem Webserver verbunden sind.

  • Die Sicherheitslücke CVE-2022-41082 ermöglicht die Remote Code Execution, wenn der Angreifer auf PowerShell zugreifen kann. Nutzt er diese Schwachstelle aus, kann er unerwünschten Programmcode aus der Ferne auf einem fremden Rechner ausführen. Kriminelle nutzen Remote Code Execution, um Malware zu laden, Daten zu stehlen oder Systeme komplett zu übernehmen.

Derzeit gibt es noch keine Sicherheitsupdates für die Schwachstellen. Microsoft rät den Kunden daher dringend, die Remote PowerShell Ports vor Fremdzugriff zu blockieren. Dafür müssen Exchange-Admins eine entsprechende Regel erstellen. Wie das geht beschreibt Microsoft in einem Blogbeitrag.

Auf die Sicherheitslücken wurde der Software-Gigant von dem vietnamesischen Cybersicherheitsunternehmen GTSC hingewiesen, welches bereits im August 2022 Angriffe über die Schwachstellen bei seinen Kunden feststellte. GTSC vermutet, dass hinter den Cyberattacken ein chinesischer Bedrohungsakteur steckt.

Kritik an Microsoft

Laut Microsoft arbeite das Sicherheitsteam an einem Patch für die Schwachstellen. Dennoch steht das Unternehmen in der Kritik, zu langsam auf Sicherheitslücken zu reagieren. Bereits im Juni 2022 hatte Amit Yoran, CEO des Security-Anbieters Tenable, Microsoft scharf kritisiert. Der Hersteller hatte im März 2022 zwei kritische Schwachstellen in der Azure-Plattform entdeckt. Auf eine Warnung habe Microsoft reagiert, indem "eines der Probleme stillschweigend gepatcht und das Risiko heruntergespielt wurde". Dieser Mangel an Transparenz gefährde alle Nutzer.

Chester Wisniewski, Principal Research Scientist bei Sophos, kritisiert die Abhilfemaßnahme, die Microsoft den Exchange-Admins für die neuen Sicherheitslücken empfiehlt: "Für Exchange-Kunden, die auf dem neuesten Stand mit den Patches und Updates vom September 2022 sind, hat Microsoft eine URL-Rewrite-Regel als Abschwächung gegen den bekannten Angriff implementiert, um zu verhindern, dass dieser funktioniert. Leider hat sich gezeigt, dass es trivial ist, diese Abschwächung zu umgehen, so dass wir alle noch auf einen offiziellen Patch warten. IT-Teams sollten sich darauf vorbereiten, den Patch so schnell wie möglich nach der Veröffentlichung anzuwenden."

Auch bei Vorwerk setzt man die Microsoft-Technologien, darunter MS Exchange, ein. CISO Florian Jörgens und sein Team reagieren auf solche Meldungen, indem sie in den Austausch mit den Verantwortlichen gehen: "Es ist nachvollziehbar, dass sich die Kunden schnelle Lösungen für Sicherheitslücken wünschen. Vor allem das häufige Nachbessern oder Korrigieren von Workarounds gefährdet die Vertrauensbasis. Wir stehen bei solchen Meldungen grundsätzlich in engem Austausch mit unseren Providern und den Herstellern, um schnellstmöglich Lücken schließen zu können. Darüber hinaus haben wir interne Mitarbeiter welche Lösungsansätze analysieren und im Rahmen von Pentests auch deren Wirksamkeit überprüfen. Im Rahmen dessen erfolgt natürlich auch eine eigene Bewertung des Risikos für die Vorwerk Gruppe."

Lesetipp: Google schließt Zero-Day-Lücke in Chrome

Melanie Staudacher ist Editor bei CSO. Ihr Schwerpunkt ist IT-Security.