Zero-Day-Lücke
Microsoft: Zwei aktive Schwachstellen auf Exchange-Server entdeckt
Microsoft Exchange ist erneut von Sicherheitslücken betroffen. Die beiden Zero-Day-Schwachstellen werden noch aktiv ausgenutzt, ein Fix soll allerdings in Arbeit sein. Währenddessen korrigiert Microsoft den Workaround zum zweiten Mal.
Nachdem Microsoft im vergangenen Juli bereits mit einer schwerwiegenden Sicherheitslücke in Exchange Server zu kämpfen hatte, steht der Dienst erneut unter Beschuss. Die Schwachstellen CVE-2022-41040 und CVE-2022-41082 werden einem Blogbeitrag des Unternehmens zufolge „in begrenztem Ausmaß“ g...
Nachdem Microsoft im vergangenen Juli bereits mit einer schwerwiegenden Sicherheitslücke in Exchange Server zu kämpfen hatte, steht der Dienst erneut unter Beschuss. Die Schwachstellen CVE-2022-41040 und CVE-2022-41082 werden einem Blogbeitrag des Unternehmens zufolge „in begrenztem Ausmaß“ genutzt. Eine Behebung der Lücke für die betroffenen Versionen Microsoft Exchange Server 2013, 2016 und 2019 sei bereits in Arbeit.
Bei der mit dem Code CVE-2022-41040 bezeichneten Lücke handelt es sich um eine sogenannte Server-Side Request Forgery (SSRF). Mit dieser wird eine Forcierung von serverseitigen Anwendungen zu vordefinierten Anfragen an unautorisierte Stellen bezeichnet. Damit kann unter anderem die Kommunikation und Datenübertragung zwischen dem betroffenen Exchange-Server und der angreifenden Seite hergestellt werden.
Aus dieser Schwachstelle resultiert auch das zweite Sicherheitsproblem. Unter der Bezeichnung CVE-2022-41082 findet sich eine Möglichkeit wieder, mit der Angreifer per Fernsteuerung potenziell schädlichen Code ausführen können, was in der Branche auch als Remote Code Execution bekannt ist. Beide Schwachstellen sollen laut Microsoft allerdings nur über ein am Server authentifizierten Account ausgenutzt werden können.
Neben der Erläuterung zu den beiden gefundenen Zero-Day-Lücken gibt Microsoft zudem an, dass an einer Lösung des Problems bereits gearbeitet wird. Mit dem Exchange Mitigation Service (EMS) habe der Dienst in der Zwischenzeit ein automatisiertes Tool, welches diese Angriffe erkennen und per URL-Umleitung verhindern können soll.
Doppelt korrigierter Workaround
Für Nutzer, die das Erkennungssystem nicht direkt nutzen können, hat das Unternehmen zuerst ein Skript zum Download bereitgestellt, welches die Server-seitige Ausführung von EMS ermöglicht. Später kam eine Korrektur, da der erste Vorschlag abermals Sicherheitsrisiken barg. Einen Tag später folgte ein Update der Korrektur!
