Kritische Zero-Day-Schwachstellen in Microsoft Exchange Server

Sicherheitsforscher haben in Microsoft Exchange Server zwei kritische Schwachstellen entdeckt, die von Angreifern bereits aktiv ausgenutzt werden (CVE-2022-41040, CVE-2022-41082). Dem offiziellen Bericht zufolge, stammen die Attacken aus dem chinesischen Umfeld. Durch erfolgreiche Angriffe können sich die Cyberkriminellen über Hintertüren im System einnisten, wodurch anschließend Schadcode ausgeführt werden kann. Des Weiteren kann das Einfallstor als Ausgangspunkt zur Ausbreitung auf weitere Systeme genutzt werden.

Betroffen sind die Versionen Exchange Server 2013, 2016 und 2019. Kunden von Exchange Online sollen nicht betroffen sein.

Microsoft hat derweil ein Shell-Skript veröffentlicht, das einen Workaround zur Absicherung vor den Angriffen einspielt. Das Skript kann direkt bei Microsoft gedownloadet werden. Der Hersteller empfiehlt, dieses auf jedem betroffenen On-Premise-Server auszuführen:
https://microsoft.github.io/CSS-Exchange/Security/EOMTv2/

Mithilfe des folgenden Befehls kann außerdem geprüft werden, ob bereits eine Kompromittierung des eigenen Systems stattgefunden hat:
Get-ChildItem -Recurse -Path <Path_IIS_Logs> -Filter „*.log“ | Select-String -Pattern ‚powershell.*autodiscover\.json.*\@.*200‘

Gerne unterstützen wir Sie beim Ausführen des Skripts, sofern Sie Hilfe benötigen. Kontaktieren Sie uns dazu einfach.