Hero Image
- Christian Grams

Neue Microsoft Exchange-Zero-Days ermöglichen RCE-Angriffe und Datendiebstahl

Quelle:

Microsoft Exchange ist von vier Zero-Day-Schwachstellen betroffen, die Angreifer aus der Ferne ausnutzen können, um beliebigen Code auszuführen oder vertrauliche Informationen auf betroffenen Installationen offenzulegen.

Die Zero-Day-Schwachstellen wurden gestern von der Zero-Day-Initiative (ZDI) von Trend Micro bekannt gegeben, die sie am 7. und 8. September 2023 an Microsoft meldete.

Obwohl Microsoft die Meldungen bestätigte, entschieden seine Sicherheitsingenieure, dass die Schwachstellen nicht schwerwiegend genug waren, um eine sofortige Behebung zu gewährleisten, und verschoben die Korrekturen auf später.

ZDI war mit dieser Reaktion nicht einverstanden und beschloss, die Schwachstellen unter seinen eigenen Tracking-IDs zu veröffentlichen, um Exchange-Administratoren vor den Sicherheitsrisiken zu warnen.

Eine Zusammenfassung der Schwachstellen finden Sie unten:

  • ZDI-23-1578 - Ein RCE-Fehler (Remote Code Execution) in der 'ChainedSerializationBinder'-Klasse, bei dem Benutzerdaten nicht ausreichend validiert werden, so dass Angreifer nicht vertrauenswürdige Daten deserialisieren können. Bei erfolgreicher Ausnutzung kann ein Angreifer beliebigen Code als 'SYSTEM', der höchsten Berechtigungsstufe unter Windows, ausführen.
  • ZDI-23-1579 - Dieser Fehler befindet sich in der Methode 'DownloadDataFromUri' und ist auf eine unzureichende Validierung eines URI vor dem Ressourcenzugriff zurückzuführen. Angreifer können dies ausnutzen, um auf vertrauliche Informationen von Exchange-Servern zuzugreifen.
  • ZDI-23-1580 - Diese Sicherheitsanfälligkeit in der Methode "DownloadDataFromOfficeMarketPlace" ist ebenfalls auf eine unzureichende URI-Validierung zurückzuführen, die zur unberechtigten Offenlegung von Informationen führen kann.
  • ZDI-23-1581 - Diese Schwachstelle in der Methode "CreateAttachmentFromUri" ähnelt den vorhergehenden Fehlern und beruht ebenfalls auf einer unzureichenden URI-Validierung, was wiederum zur Offenlegung sensibler Daten führen kann.

Alle diese Sicherheitslücken erfordern eine Authentifizierung, um ausgenutzt werden zu können, wodurch sich ihr CVSS-Schweregrad auf 7,1 bis 7,5 verringert. Außerdem ist das Erfordernis der Authentifizierung ein Abschwächungsfaktor und möglicherweise der Grund dafür, dass Microsoft der Behebung der Fehler keine Priorität eingeräumt hat.

Es sei jedoch darauf hingewiesen, dass Cyberkriminelle viele Möglichkeiten haben, an Exchange-Anmeldeinformationen zu gelangen, z. B. durch das Ausprobieren schwacher Kennwörter, Phishing-Angriffe, den Kauf von Kennwörtern oder den Erwerb von Kennwörtern aus den Protokollen von Informationsdieben.

Dennoch sollten die oben genannten Zero-Days nicht als unwichtig betrachtet werden, insbesondere ZDI-23-1578 (RCE), die zu einer vollständigen Systemkompromittierung führen kann.

Laut ZDI besteht die einzig sinnvolle Abhilfestrategie darin, die Interaktion mit Exchange-Anwendungen einzuschränken. Dies kann jedoch für viele Unternehmen und Organisationen, die das Produkt verwenden, unannehmbar störend sein.

Zusätzlich wird empfohlen die Implementierung einer Multi-Faktor-Authentifizierung, um zu verhindern, dass Cyberkriminelle auf Exchange-Instanzen zugreifen können, selbst wenn die Anmeldedaten kompromittiert wurden.