Zero-Day-Lücke

Microsoft: Zwei aktive Schwachstellen auf Exchange-Server entdeckt

Microsoft Exchange ist erneut von Sicherheitslücken betroffen. Die beiden Zero-Day-Schwachstellen werden noch aktiv ausgenutzt, ein Fix soll allerdings in Arbeit sein. Währenddessen korrigiert Microsoft den Workaround zum zweiten Mal.

News
VG Wort Pixel
Forscher entdecken eine schwere Sicherheitslücke in USB-Sticks.
Microsoft Exchange: Zwei Zero-Day-Lücken ermöglichen Angriffe auf die Server.
© Sergey Nivens - Fotolia.com

Nachdem Microsoft im vergangenen Juli bereits mit einer schwerwiegenden Sicherheitslücke in Exchange Server zu kämpfen hatte, steht der Dienst erneut unter Beschuss. Die Schwachstellen CVE-2022-41040 und CVE-2022-41082 werden einem Blogbeitrag des Unternehmens zufolge „in begrenztem Ausmaß“ genutzt. Eine Behebung der Lücke für die betroffenen Versionen Microsoft Exchange Server 2013, 2016 und 2019 sei bereits in Arbeit.

Bei der mit dem Code CVE-2022-41040 bezeichneten Lücke handelt es sich um eine sogenannte Server-Side Request Forgery (SSRF). Mit dieser wird eine Forcierung von serverseitigen Anwendungen zu vordefinierten Anfragen an unautorisierte Stellen bezeichnet. Damit kann unter anderem die Kommunikation und Datenübertragung zwischen dem betroffenen Exchange-Server und der angreifenden Seite hergestellt werden.

Aus dieser Schwachstelle resultiert auch das zweite Sicherheitsproblem. Unter der Bezeichnung CVE-2022-41082 findet sich eine Möglichkeit wieder, mit der Angreifer per Fernsteuerung potenziell schädlichen Code ausführen können, was in der Branche auch als Remote Code Execution bekannt ist. Beide Schwachstellen sollen laut Microsoft allerdings nur über ein am Server authentifizierten Account ausgenutzt werden können.

Neben der Erläuterung zu den beiden gefundenen Zero-Day-Lücken gibt Microsoft zudem an, dass an einer Lösung des Problems bereits gearbeitet wird. Mit dem Exchange Mitigation Service (EMS) habe der Dienst in der Zwischenzeit ein automatisiertes Tool, welches diese Angriffe erkennen und per URL-Umleitung verhindern können soll.

Doppelt korrigierter Workaround

Für Nutzer, die das Erkennungssystem nicht direkt nutzen können, hat das Unternehmen zuerst ein Skript zum Download bereitgestellt, welches die Server-seitige Ausführung von EMS ermöglicht. Später kam eine Korrektur, da der erste Vorschlag abermals Sicherheitsrisiken barg. Einen Tag später folgte ein Update der Korrektur!

Profitipps: Exchange Server 2010 administrieren

"SessionManager"

Microsoft: Weiter gezielte Angriffe auf Exchange-Server

Eine Schwachstelle in Microsoft Exchange wird bereits seit vergangenem Jahr aktiv ausgenutzt. Betroffen sind unter anderem auch…

Microsoft Exchange: Die Basic-Auth-Anmeldung wird sukzessive abgeschafft.

Ab dem 1. Oktober

Microsoft Exchange: Basic-Auth-Verfahren wird abgeschafft

Das unsichere Anmeldeverfahren "Basic Authentication" wird in Microsoft Exchange deaktiviert. Welche Änderungen damit auf Nutzer zukommen.

6.10.2022 von Jusuf Hatic

Weiter zur Startseite  

Mehr zum Thema

Virus entfernen

Achtung vor Trojaner

CCleaner kostenlos: Fake-Download entpuppt sich als Malware

Aktuell ist ein Trojaner im Umlauf, der über eine gefälschte CCleaner-Lizenz verbreitet wird. Die Malware stiehlt Passwörter und Kreditkarten…

Logo des Apple M1

Schwachstelle in der CPU

Apple M1: Sicherheitslücke PACman lässt sich nicht beheben

Der M1-Chip von Apple hat eine Sicherheitslücke, die sich nicht einfach beheben lässt. PACman erlaubt auch Attacken gegen den Kernel des OS.

Browser-Test 2020: Der neue Edge vs. Chrome & Firefox

Chrome, Edge und Firefox

Browser-Schwachstelle: Passwörter im Klartext gespeichert

Eine Sicherheitslücke in Google Chrome erlaubt das Auslesen von Passwörtern im Klartext. Aber auch Edge und Firefox sollen betroffen sein.

Hand hält ein Schloss vor das Logo von Google Chrome

Update auf Version 103.0.5060.134

Neues Chrome-Update beseitigt 11 Sicherheitslücken

Google hat ein neues Sicherheits-Update für Chrome veröffentlicht. Das beseitigt 11 Sicherheitslücken, mindestens 5 davon mit hohem Risiko.

Arzthelferin nimmt am Empfang digital Daten eines Patienten auf

Sicherheitslücke in Praxissoftware

Mehr als 1 Mio. Patientendaten landeten ungeschützt im Netz

Nicht datenschutzkonform: Über eine Praxissoftware landeten Patientendaten für Unbefugte einsehbar im Netz. Mehrere 10.000 Patienten waren betroffen.