Springe zum Inhalt

SoftEd Blog

In unserem SoftEd-Blog informieren wir Sie regelmäßig zu neuen Themen der Branche und Aktuellem aus Gesellschaft und Leben.

Blog abonnieren
Verwundbarkeit Microsoft Exchange Server 1
| | IT-Security, Aktuelles, IT-Infrastruktur

Verwundbarkeit Microsoft Exchange Server

Am 29.09. wurde von Microsoft eine Sicherheitslücke zur Verwundbarkeit des Exchange Servers publiziert und am 02.10. nochmals aktualisiert. Ein wesentlicher Angriffspunkt ist die Möglichkeit Powershell Scripten Remote auszuführen und damit Systeme zu schädigen.

Wer ist betroffen?

Die Sicherheitslücke betrifft nur Systeme in On-Premises Umgebungen ab Version 2013.

Mögliche Auswirkungen

Ein wesentlicher Angriffspunkt ist die Möglichkeit Powershell Scripten Remote auszuführen und damit Systeme zu schädigen. Mehr Details bei Microsoft unter folgendem Link: Customer Guidance for Reported Zero-day Vulnerabilities in Microsoft Exchange Server – Microsoft Security Response Center

Was kann man dagegen tun?

Da die Lücke erst am 29.09. bekannt wurde gibt es bisher auch nur Workarounds und keine Patches.

Workaround 1:

Die Exchange Veröffentlichung nach außen vorerst abschalten, denn das ist mal wieder das Einfallstor.

Workaround 2:

Deaktivieren der Remote-Powershell für Nicht-Administratoren.

Workaround 3:

Eine weitere Abhilfemaßnahme ist das Hinzufügen einer Blockierungsregel im ISS-Manager.

  • Öffnen Sie den IIS-Manager.
  • Erweitern Sie die Standard-Website.
  • Wählen Sie Autodiscover.
  • Klicken Sie in der Funktionsansicht auf URL-Rewrite
  • Klicken Sie im Bereich Aktionen auf der rechten Seite auf Regeln hinzufügen. 
  • Wählen Sie Anfrageblockierung und klicken Sie auf OK.
  • Fügen Sie die Zeichenfolge „.*autodiscover\.json.*\@.*Powershell.*“ hinzu (ohne Anführungszeichen) und klicken Sie auf OK.
  • Erweitern Sie die Regel und wählen Sie die Regel mit dem Muster „.*autodiscover\.json.*\@.*Powershell.*“ aus und klicken Sie unter Bedingungen auf Bearbeiten.
  • Ändern Sie die Bedingungseingabe von {URL} in {REQUEST_URI} und klicken Sie auf OK.

Auswirkungen: Es sind keine Auswirkungen auf die Exchange-Funktionalität bekannt, wenn das URL-Rewrite-Modul wie empfohlen installiert wird.

Weiterhin sollten Sie prüfen, ob ihre Exchange Server eine unterstütze Version haben und ober die Systeme aktuell gepatched sind.

Ist mein System betroffen?

Ob ihr System betroffen ist, können Sie mit einem Powershell Befehl prüfen:

Get-ChildItem -Recurse -Path <Path_IIS_Logs> -Filter "*.log" | Select-String -Pattern 'powershell.*autodiscover\.json.*\@.*200'

Wir empfehlen die Systeme unbedingt zu prüfen und die offiziellen Workarounds durchzuführen.

Mehr Unterstützung durch SoftEd Consulting

Wir bieten technische Trainings und Beratungsleistungen rund um den Digital Workplace. Alle Angebote im Überblick



Kommentieren

Ihre E-Mail-Adresse wird nicht veröffentlicht.

drei × 4 =