Exchange 0-day-Exploit 2022

Exchange 0-day-Exploit 2022

CVE-2022-41040, CVE-2022-41082

Security Bulletin | High 

Microsoft is investigating two reported zero-day vulnerabilities affecting Microsoft Exchange Server 2013, 2016, and 2019. The first vulnerability, identified as CVE-2022-41040, is a Server-Side Request Forgery (SSRF) vulnerability, while the second, identified as CVE-2022-41082, allows remote code execution (RCE) when PowerShell is accessible to the attacker.  


What Customers Should Do

To protect your on-prem Exchange you can bind a responder policy on the Citrix ADC contentswitch handling all the Exchange related traffic:

add responder policy rspol_exchange_zeroday_oct_22 "HTTP.REQ.URL.PATH.SET_TEXT_MODE(IGNORECASE).STARTSWITH(\"/autodiscover\") && HTTP.REQ.URL.PATH_AND_QUERY.SET_TEXT_MODE(IGNORECASE).REGEX_MATCH(re/.*autodiscover\\.json.*\\@.*Powershell.*/)" RESET

Update 05.10.2022 (https://www.heise.de/news/Exchange-0-Day-Microsoft-korrigiert-Workaround-7284241.html):

add responder policy rspol_exchange_zeroday_oct_22 "HTTP.REQ.URL.PATH.SET_TEXT_MODE(IGNORECASE).STARTSWITH(\"/autodiscover\") && HTTP.REQ.URL.PATH_AND_QUERY.SET_TEXT_MODE(IGNORECASE).REGEX_MATCH(re/.*autodiscover\\.json.*.*Powershell.*/)" RESET

Bind this responder to the Exchange contentswitch.

Customers whose internal traffic flows directly to the Exchange servers should also implement the suggested mitigations described here: https://msrc-blog.microsoft.com/2022/09/29/customer-guidance-for-reported-zero-day-vulnerabilities-in-microsoft-exchange-server/

At the moment Citrix has not released any official WAF signatures.

In case you need help please open a ticket in your AXACOM Support Portal.

Exchange 0-day-Exploit 2022

Exchange on-Prem 2022 Bug – E-Mail flow unterbrochen

Seit dem 01.01.2022 – 00:00 Uhr werden aufgrund eines Bugs bei On-Prem Exchange Servern keine Mails mehr zugestellt. Neue Mails werden vom Exchange zwar angenommen, bleiben dann aber in der Submission Queue hängen und werden nicht ausgeliefert.

Ursache ist ein Bug im “Microsoft Filtering Management Service”, der sich am Jahr 2022 verschluckt. Im Application Event log finden sich dann viele Fehlermeldungen des FIPFS Services mit Meldungen wie «Cannot convert “220101001” to long»

Als Quick Fix reicht es, den «AntiMalware Scanning Service» temporär via Disable-Antimalwarescanning.ps1zu disablen.

Die bessere Lösung ist es aber, gemäss diesem Artikel (https://techcommunity.microsoft.com/t5/exchange-team-blog/email-stuck-in-transport-queues/ba-p/3049447) vorzugehen und ALLE Exchange Server zu patchen.

In dem Beitrag findet sich etwas versteckt ein Download Link für ein PowerShell Script, welches diesen Prozess automatisiert: https://aka.ms/ResetScanEngineVersion

Das Script läuft recht lange (bis zu 30 Min.) Anschliessend musste der «Microsoft Exchange Transport» Service neu gestartet werden, um den Mailfluss wieder in Gang zu bringen.

Exchange 0-day-Exploit 2022

Erneut schwere Exchange Lücke – sofort patchen!

In Exchange 2013 / 2016 / 2019 ist erneut eine schwerwiegende Lücke gefunden worden, welche einem unauthentifizierten Benutzer erhöhte Rechte verschaffen kann. Eine komplette Kompromittierung des Exchange Servers ist möglich, einschliesslich der Installation einer Web Shell oder eines Verschlüsselungstools.

Die Lücke wird bereits aktiv ausgenutzt. Es wird daher dringend geraten, die Exchange Server so schnell wie möglich zu patchen.

Details zu den Schwachstellen und zur Identifizierung bereits infizierter Server sind hier zu finden:

Microsoft stellt hier Informationen zum Out-of-Band Update bereit:

Am einfachsten lässt sich der Patch über die Windows Update Funktion installieren. Für eine manuelle Installation der MSP Dateien ist unbedingt darauf zu achten, diese mit «Run as Admin…» auszuführen, da es sonst zu Fehlern bei der Installation kommen kann.