Erneut Zero-Day Lücken in Exchange – Update

Update vom 12.10.2022: Laut Microsoft wurden die untenstehenden Lücken mit einem aktuellen Patch für Exchange Server zum Oktober-Patchday bereitgestellt. sie sollten umgehend installiert werden. Leider wurde zeitgleich eine weitere Sicherheitslücke bekannt. Für diese 0-Day-Lücke gibt es noch keinen Patch und sie ist ebenfalls kritisch. Der Exchange Server im eigenen Serverraum bleibt damit (vermutlich von Microsoft so gewollt, denn die Cloud-Lösung ist wieder einmal nicht betroffen) ein unsicheres Fahrwasser.

3.1: Wieder wurden in Servern 2013,2016 und 2019 entdeckt. Betroffen sind mit Sicherheit auch ältere Versionen – dafür werden aber keine Patches mehr bereitgestellt. Microsoft hat die Sicherheitslücken (CVE-2022-41040, CVE-2022-41082) bestätigt.

Hinweis: Die Online-Version im Rahmen von Microsoft 365 / Exchange online ist laut Microsoft nicht betroffen.

Da es aber für die Exchange Server Versionen 2013-19 noch keinen Patch gibt und die Lücken bereits von Kriminellen ausgenutzt werden, stellt Microsoft einen Notfall-Patch bereit, der unbedingt von Administratoren auf betroffenen Servern installiert werden sollten.

https://microsoft.github.io/CSS-Exchange/Security/EOMTv2/

Microsoft Workaround gegen Sicherheitslücke und Anleitung

https://www.microsoft.com/security/blog/2022/09/30/analyzing-attacks-using-the-exchange-vulnerabilities-cve-2022-41040-and-cve-2022-41082/

Erweiterte Anleitung, die Sicherheitslücke zu schließen, da der erste Fix nicht ausreicht

Verwandte Beiträge
Kategoriebild

Crypto-MiningLücke in fast allen Browsern. Sowohl im Internet-Explorer, Edge, Firefox und Google Chrome können durch Aufruf einer präparierten Seite Scripts

Kategoriebild

Neulich in OutlookWie der „Kudnenservice“ der Sparkasse mitteilt, ist es unbedingt erforderlich, auf den Link in der E-Mail zu klicken. Durch das

Über den Autor:

Patrick Bärenfänger ist TÜV-zertifizierter IT-Security Manager und -Auditor und seit über 32 Jahren in der IT-Branche. Seine Schwerpunkte sind die Ausbildung/Zertifizierung von Systemkoordinatoren, Lizenz-Audits und IT-Systemprüfungen nach BSI-Grundschutz-Katalogen und IDW PS 330 und die Intrastruktur-Analyse und -Optimierung.

Kommentare

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert