Betroffene Produkte
On-Premises Microsoft Exchange Server 2013/16/19
Kritikalität der Schwachstelle(n)
CVSS Score: 8.8 sowie 6.3
Auswirkungen
Server-Side Request Forgery (SSRF) und Remote Code Execution (RCE)
Beschreibung
Die Zero-Day Schwachstelle wurde erstmals von der vietnamesischen Cybersicherheitsgruppierung GTSC gemeldet. So sind diese wohl nur bei On-Premises Versionen, also nur bei Lokal gehosteten Lösungen der Microsoft Exchange Servern vorhanden. Exchange Online Nutzer müssten demnach keine Maßnahmen treffen.
Laut Microsoft handelt es sich um eine Server-Side Request Forgery Schwachstelle, sowie um eine Remote Code Execution Schwachstelle. Damit Angreifer die RCE-Schwachstelle (CVE-2022-41082) ausnutzen können, bedarf es zuvor einer erfolgreichen Ausnutzung der SSRF-Schwachstelle (CVE-2022-41040), welche wiederum ausschließlich von authentifizierten Nutzern möglich sei.
Bei einer SSRF-Schwachstelle missbrauchen die Angreifer die Funktionalität des Servers und können sowohl auf die Informationen, die auf dem Server liegen zugreifen als auch manipulieren.
Eine RCE-Schwachstelle ermöglicht es Angreifern aus der Ferne, Code und Skripte auf dem Server des Opfers auszuführen und kann so potenziell jegliche IT-Infrastruktur manipulieren.
CVEs
CVE-2022-41040
CVE-2022-41082
Mitigation oder Maßnahme zur Vermeidung respektive möglicher Handlungsempfehlungen
[Update]
Mit dem November-Patch hat Microsoft auch eine Lösung für die beiden Schwachstellen geliefert. Seit dem 8.11.22 steht nun der offizielle Patch zur Installation bereit.
Wir empfehlen Ihnen dieses Update schnellstmöglich zu installieren!
Der bisherige Workaround wird durch das Microsoft-Patch-Update hinfällig.
Referenzen und Links
[1] Security Advisory: https://thehackernews.com/2022/09/warning-new-unpatched-microsoft.html
[2] Security Advisory: https://www.bleepingcomputer.com/news/microsoft/microsoft-confirms-new-exchange-zero-days-are-used-in-attacks/
[3] Security Advisory: https://www.heise.de/news/Exchange-Server-Zero-Day-Bisheriger-Workaround-unzureichend-7283072.html
[4] Security Advisory: https://www.bleepingcomputer.com/news/security/microsoft-exchange-server-zero-day-mitigation-can-be-bypassed/
[5] Security Advisory: https://msrc-blog.microsoft.com/2022/09/29/customer-guidance-for-reported-zero-day-vulnerabilities-in-microsoft-exchange-server/
[6] Security Advisory: https://www.heise.de/news/Exchange-Zero-Day-Luecke-Nochmals-nachgebesserter-Workaround-7304522.html