Zero-Day-Attacken MS Exchange
Die von Sicherheitsforschern entdeckten Sicherheitslücken werden inzwischen bereits ausgenutzt. Von Sicherheits-Patches fehlt bislang noch jede Spur.
Die gut Nachricht: Ein Workaround gibt es bereits.
So können Admins Die Server absichern:
Es muss im Autodiscover im Tab URL Rewrite eine Request-Blocking-Regel mit folgenden Inhalt
.*autodiscover\.json.*\@.*Powershell.*
im URL Path erstellt werden. Als Condition input muss {REQUEST_URI} gewählt werden.
Unsere Spezialisten schliessen diese Lücken bereits, für die Sicherheit unserer Kunden!
Wurden Ihre Server bereits kompromittiert?
Mit folgendem PowerShell-Befehl kann dies geprüft werden:
Get-ChildItem -Recurse -Path <Path_IIS_Logs> -Filter "*.log" | Select-String -Pattern 'powershell.*autodiscover\.json.*\@.*200'
Wie läuft der Angriff ab?
Angreifer aus den chinesischem Raum attackieren bereits erfolgreich Exchange Server und schleichen nicht durch Hintertüren in die Systeme ein. Ist der Angriff erfolgreich gewesen, kann Schadcode ausgeführt werden und einer Ausbreitung in andere Systeme steht nicht mehr viel im Wege.
