Zero-Day Lücke in MS Exchange - "ProxyNotShell"
Michael Schäublin, Consultant | Security Advisor
Seit über 10 Jahren beim Berner IT-Dienstleister SmartIT Services AG in verschiedenen technischen Funktionen tätig. Michael Schäublin setzt sich seit jeher intensiv mit IT-Security auseinander. Er hat als Security Advisor die fachliche Führung des Fachteams Security, erarbeitet zusammen mit dem Team Richtlinien und technische Konzepte, welche zum sicheren Betrieb von IT-Umgebungen beitragen. Zudem berät und schult er Kunden zum Thema IT-Security..
Zwei Sicherheitslücken (CVE-2022-41040 & CVE-2022-41082) ermöglichen es Angreifern Exchange-Server zu übernehmen. Die Ausnutzung dieser Lücken wurde von Sicherheitsforschern beobachtet.
Im Gegensatz zu den ProxyShell-Lücken vor einem Jahr benötigen Angreifer bei diesen Lücken aber einen authentifizierten Zugriff (z.B. Zugangsdaten eines Benutzers). Dieses Hindernis dürfte eine flächendeckende Ausnutzung bisher verhindert haben.
Gegenmassnahmen
Microsoft hat einen Guide veröffentlicht, wie das die Ausnutzung der Sicherheitslücke erschwert bzw. verhindert werden kann.
Zu beachten ist, dass die Empfehlung zur Einschränkung von Remote PowerShell Verbindungen für Nicht-Admin-Benutzer sinnvoll ist; die Umsetzung muss aber gut geplant sein!