Forschende entdecken zwei Zero-Day-Bugs in Microsoft Exchange

Sicherheitsforschende des vietnamesischen Cybersecurity-Unternehmens GTSC haben zwei aktiv ausgenutzte Schwachstellen in Microsoft Exchange entdeckt. Die beiden Zero-Day-Bugs ermöglichen es, remote Code auszuführen auf dem Zielsystem, wie "Bleepingcomputer" berichtet. So könnten Angreifer Hintertüren im System öffnen und Daten stehlen.

Einen Patch von Microsoft gibt es aktuell noch nicht - wann ein solcher erscheint, ist unklar.

Die Forschenden von GTSC veröffentlichten aber einen Workaround zur Absicherung der eigenen Infrastruktur, wie "Heise" berichtet. Demnach müssen Administratoren dafür unter Autodiscover im Tab URL Rewrite eine Request-Blocking-Regel mit dem Inhalt .*autodiscover\.json.*\@.*Powershell.* im URL Path erstellen - als Condition Input müsse "{REQUEST_URI}" definiert werden.

Mit folgendem PowerShell-Befehl können Admins prüfen, ob Server bereits kompromittiert sind:

Get-ChildItem -Recurse -Path <Path_IIS_Logs> -Filter "*.log" | Select-String -Pattern 'powershell.*autodiscover\.json.*\@.*200'

Die Forschenden meldeten die Sicherheitslücke vor drei Wochen über die Zero Day Initiative an Microsoft, wie "Bleepingcomputer" schreibt. Microsoft gab bisher keine Informationen zu den beiden Sicherheitslücken bekannt und muss ihnen noch eine CVE-ID zuweisen, um sie zu verfolgen. Die beiden Schwachstellen haben CVSS-Scores von 8.8 und 6.3 erhalten - das Risiko wird somit als "hoch" eingestuft.

Microsoft hat bereits Mitte Monat Patches für zwei Zero-Day-Sicherheitslücken im Windows-Betriebssystem veröffentlicht. Mehr dazu lesen Sie hier.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.