Zwei Sicherheitslücken (CVE-2022-41040 & CVE-2022-41082) ermöglichen es Angreifern Exchange-Server zu übernehmen. Die Ausnutzung dieser Lücken wurde von Sicherheitsforschern beobachtet.
Im Gegensatz zu den ProxyShell-Lücken vor einem Jahr benötigen Angreifer bei diesen Lücken aber einen authentifizierten Zugriff (z.B. Zugangsdaten eines Benutzers). Dieses Hindernis dürfte eine flächendeckende Ausnutzung bisher verhindert haben.
Gegenmassnahmen
Microsoft hat einen Guide veröffentlicht, wie das die Ausnutzung der Sicherheitslücke erschwert bzw. verhindert werden kann.
Zu beachten ist, dass die Empfehlung zur Einschränkung von Remote PowerShell Verbindungen für Nicht-Admin-Benutzer sinnvoll ist; die Umsetzung muss aber gut geplant sein!