Zero Day Exploit „ProxyNotShell“ zu Exchange führt vor: Aufmerksam sein und am Thema dranbleiben ist wichtig.
Exploit und vorläufiger Sachstand zur Lage
Ein Ende September 2022 bekannt gewordener Zero Day Exploit betrifft Microsoft-Exchange-Server. Laut Hersteller sind die Versionen Microsoft Exchange Server 2013, 2016 und 2019 von den Sicherheitsschwachstellen betroffen, maßgeblich bei On-Premises-Installationen.
Zwei kürzlich entdeckte Sicherheitslücken ermöglichen eine Server-Side Request Forgery sowie Remote Code Execution. Eine offenbar nachvollziehbare Angriffsmethode zur Ausnutzung der Schwachstellen nutzt PowerShell. „ProxyNotShell“ ist das entsprechende in Diskussionen zum Fall häufiger verwendete Stichwort. Als Voraussetzung benötigt ein Angreifer den Kontext eines authentifizierten Zugriffs auf den verwundbaren Server.
Die Schwachstellen selbst sind als hoch bzw. mittel eingestuft. Das BSI stuft die resultierende Situation in der unter CSW-Nr. 2022-258168-1232 veröffentlichten Sicherheitswarnung als geschäftskritische IT-Bedrohungslage ein.
Der Verbreitungsgrad des betroffenen Produkts ist hoch. Vorerst existiert noch kein Patch vom Hersteller. Es sind lediglich ein Workaround zum Erschweren einer erfolgreichen Ausnutzung sowie Hinweise zur Prüfung von Exchange-Server-Installationen auf Anzeichen einer bereits erfolgten Kompromittierung bekannt.
Wie bei Zero Day Exploits solcher Bedrohlichkeit typisch, ist es wichtig, die verfügbaren Informationen aufmerksam zu verfolgen und passend zur eigenen Situation anzuwenden. Hierbei sind verschiedene Phasen zu durchlaufen. Durchhaltevermögen ist gefragt.
Sofortmaßnahmen
Derzeit vorgeschlagene Sofortmaßnahmen umfassen einen Workaround in Form einer Konfigurationsänderung. Einzelheiten können zunächst der BSI-Meldung entnommen werden, siehe https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2022/2022-258168-1032.pdf. Microsoft erläutert mehrere Möglichkeiten zur Umsetzung, siehe z.B. https://msrc-blog.microsoft.com/2022/09/29/customer-guidance-for-reported-zero-day-vulnerabilities-in-microsoft-exchange-server/.
Hier empfiehlt sich in jedem Fall eine zügige Umsetzung („Emergency Change“). Microsoft erwartet keine Seiteneffekte der vorgeschlagenen Änderungen auf die Funktionsfähigkeit der Exchange-Server.
Wichtig: Man muss die Meldungen zu solchen vorläufigen Entschärfungsmöglichkeiten weiter aufmerksam verfolgen. Im aktuellen Fall wurde der erste Workaround-Vorschlag bereits nach Analyse verworfen und durch eine Update-Empfehlung abgelöst. Neue Erkenntnisse können nochmals ein Nachbessern am eigenen Exchange-Server erfordern.
Ergänzend kann man Hinweise zur Analyse eigener Exchange-Installationen bzgl. möglicher Anzeichen auf Angriffsversuche bzw. schon erfolgreicher Angriffe nutzen, siehe etwa https://www.microsoft.com/security/blog/2022/09/30/analyzing-attacks-using-the-exchange-vulnerabilities-cve-2022-41040-and-cve-2022-41082/.
Schließung der Sicherheitslücken bei verfügbarem Patch
Hier ist nicht viel anzumerken. Die der Kritikalität angemessene Aufmerksamkeit (wann steht ein Patch zur Verfügung?) und funktionierendes Patch-Management, technisch und organisatorisch, sind entscheidend.
Strategische Nachsorge
Dies ist nicht der erste Zero-Day-Attack-Fall zu Exchange. Bei einem derart komplexen Produkt lässt sich nicht ausschließen und sicher vermeiden, dass zukünftig weitere Sicherheitslücken erst nachträglich erkannt werden. Bei entsprechender Kritikalität ist es richtig, dass der Hersteller nicht erst stillschweigend einen Patch erarbeitet und das Problem inklusive Lösung danach öffentlich wird.
Die nächste Schwachstelle und wie deren konkrete Ausnutzung funktioniert, lassen sich nicht vorwegnehmen. Dennoch ist es sinnvoll, den aktuellen Fall nach Roll-out eines hoffentlich bald verfügbaren Patches noch nicht gleich zu den Akten zu legen. Mindestens zwei Aspekte verdienen eine nähere Betrachtung:
- Rückbau des Workarounds nach Schließung der Sicherheitslücke?
Lässt man den Workaround bestehen, kann er bei neuen Exploits Angriffsformen mit gleichem Muster zumindest behindern. Seiteneffekte, etwa bei funktionalen Änderungen durch neue Exchange-Versionen, sind jedoch möglich. Hat der Hersteller neue Exchange-Versionen mit oder ohne die Workaround-Konfiguration entwickelt und getestet? Man sollte zumindest auf einen „Notizzettel“ für zukünftiges Trouble Shooting zu Exchange-Problemen die Feineinstellung nehmen, wenn man sie belässt (Betriebsunterlagen, Knowledge-Base).
- Optimierungsmöglichkeiten an Rahmenbedingungen?
Voraussetzung für einen erfolgreichen Angriff zum aktuellen Exploit ist eine Kombination aus PowerShell-Zugang und authentisiertem Server-Zugriff. Eventuell gibt es bei genauem Hinsehen hier noch Möglichkeiten, an der eigenen Exchange-Installation unnötige Freiheitsgrade für bestimmte Konten zu beschneiden bzw. bei der Authentisierung noch einmal nachzulegen.
Egal, wie sich der aktuelle Fall zu Exchange weiterentwickelt, eines führt er vor, wenn man alle benannten Hilfen und Vorschläge betrachtet:
Zero Day Exploits, die wegen erhöhter Kritikalität veröffentlicht werden, brauchen eine Kombination aus schneller Erstreaktion und Ausdauer bei der weiteren Verfolgung des Falls.
