In einem Blog-Eintrag bestätigte Microsoft Ende letzter Woche, dass man zwei Exchange-Server-Schwachstellen untersuche, die dem Unternehmen zuvor gemeldet wurden. Man habe "Kenntnis von gezielten Angriffen". Der Softwareriese arbeitet zwar noch an Sicherheits-Patches für die Zero-Days, hat aber bereits Schritte zur Entschärfung der Gefahr unternommen.
Die beiden Schwachstellen heißen CVE-2022-41040 und CVE-2022-41082. Microsoft erklärt, dass bei diesen Angriffen der Fehler CVE-2022-41040 einem authentifizierten Angreifer einen Fernzugriff ermöglichen kann.
Obwohl derzeit noch kein Patch verfügbar ist, rät Microsoft seinen Kunden dringend, sogenannte URL-Rewrite-Anweisungen anzuwenden, welche die Wege zum Remote-Zugriff (also die entsprechenden Remote-PowerShell-Ports) blockieren. Experten monieren, dass Microsoft bei der Bereitstellung von Patches grundsätzlich zu langsam agiere – dies habe sich speziell bei Exchange-Problemen in der Vergangenheit schon gezeigt.
Auf das Problem hingewiesen wurde Microsoft von dem vietnamesischen Cybersicherheitsunternehmen GTSC. Als die Forscher feststellten, dass die Schwachstelle kritisch ist, meldete GTSC sie der Zero Day Initiative (ZDI), die sie als zwei verschiedene CVEs mit hoher Dringlichkeit einstufte.
Eine Anleitung, wie das Problem bis zur Fertigstellung der Patches zu behandeln ist,
finden Exchange-Administratoren hier.