Zitat von
mpachmann am 30. September 2022, 9:55 Uhr
https://www.borncity.com/blog/2022/09/30/exchange-server-werden-ber-0-day-exploit-angegriffen-29-sept-2022/
https://futurezone.at/b2b/microsoft-exchange-server-security-sicherheitsluecke-zero-day-patch/402166884
https://www.borncity.com/blog/2022/10/01/neues-zur-exchange-server-0-day-schwachstelle-zdi-can-18333-korrekturen-scripte-und-ep-lsung/
https://www.frankysweb.de/proxynotshell-emergency-mitigation-behebt-zero-day-schwachstelle/
Bypassed:
https://www.bleepingcomputer.com/news/security/microsoft-exchange-server-zero-day-mitigation-can-be-bypassed/
https://www.heise.de/news/Exchange-Server-Zero-Day-Bisheriger-Workaround-unzureichend-7283072.html?wt_mc=rss.red.security.alert-news.rdf.beitrag.beitrag
https://learn.microsoft.com/en-us/powershell/exchange/control-remote-powershell-access-to-exchange-servers?view=exchange-ps&viewFallbackFrom=exchange-ps%22%20%5Cl%20%22use-the-exchange-management-shell-to-enable-or-disable-remote-powershell-access-for-a-user
https://www.heise.de/news/Exchange-Zero-Day-Luecke-Nochmals-nachgebesserter-Workaround-7304522.html?wt_mc=rss.red.ho.ho.atom.beitrag.beitrag
Aktueller Stand der Regel
Die derzeit aktuelle Regel vom Wochenende lautet jetzt (?=.*autodiscover)(?=.*powershell). Administratoren sollen das als Request-Block-Regel für Autodiscover anlegen und die Option "Regular Expression" unter "Using" auswählen. Für "How to block" sollen sie die Einstellung auf "Abort Request" setzen. Schließlich sollen Admins die neu angelegte Regel auswählen und auf "Edit" unter "Conditions" klicken. Im Feld "Condition Input" sollen sie die Zeichenkette {URL} in {UrlDecode:{REQUEST_URI}} ändern.
Get-User -ResultSize Unlimited | Format-Table Name,DisplayName,RemotePowerShellEnabled -AutoSize
$DSA = Get-User -ResultSize Unlimited -Filter "(RecipientType -eq 'UserMailbox')"
$DSA | foreach {Set-User -Identity $_ -RemotePowerShellEnabled $false}
If Adminaccess is also disabled:
on prem Exchange
start powershell as admin
Add-PSSnapin Microsoft.Exchange.Management.PowerShell.SnapIn
Set-User -Identity USER@DOMAIN -RemotePowerShellEnabled $true
Exchange Server werden über 0-day Exploit angegriffen (29. Sept. 2022)
https://futurezone.at/b2b/microsoft-exchange-server-security-sicherheitsluecke-zero-day-patch/402166884
https://www.borncity.com/blog/2022/10/01/neues-zur-exchange-server-0-day-schwachstelle-zdi-can-18333-korrekturen-scripte-und-ep-lsung/
https://www.frankysweb.de/proxynotshell-emergency-mitigation-behebt-zero-day-schwachstelle/
Bypassed:
https://www.bleepingcomputer.com/news/security/microsoft-exchange-server-zero-day-mitigation-can-be-bypassed/
https://www.heise.de/news/Exchange-Server-Zero-Day-Bisheriger-Workaround-unzureichend-7283072.html?wt_mc=rss.red.security.alert-news.rdf.beitrag.beitrag
https://learn.microsoft.com/en-us/powershell/exchange/control-remote-powershell-access-to-exchange-servers?view=exchange-ps&viewFallbackFrom=exchange-ps%22%20%5Cl%20%22use-the-exchange-management-shell-to-enable-or-disable-remote-powershell-access-for-a-user
https://www.heise.de/news/Exchange-Zero-Day-Luecke-Nochmals-nachgebesserter-Workaround-7304522.html?wt_mc=rss.red.ho.ho.atom.beitrag.beitrag
Aktueller Stand der Regel
Die derzeit aktuelle Regel vom Wochenende lautet jetzt (?=.*autodiscover)(?=.*powershell). Administratoren sollen das als Request-Block-Regel für Autodiscover anlegen und die Option "Regular Expression" unter "Using" auswählen. Für "How to block" sollen sie die Einstellung auf "Abort Request" setzen. Schließlich sollen Admins die neu angelegte Regel auswählen und auf "Edit" unter "Conditions" klicken. Im Feld "Condition Input" sollen sie die Zeichenkette {URL} in {UrlDecode:{REQUEST_URI}} ändern.
Get-User -ResultSize Unlimited | Format-Table Name,DisplayName,RemotePowerShellEnabled -AutoSize
$DSA = Get-User -ResultSize Unlimited -Filter "(RecipientType -eq 'UserMailbox')"
$DSA | foreach {Set-User -Identity $_ -RemotePowerShellEnabled $false}
If Adminaccess is also disabled:
on prem Exchange
start powershell as admin
Add-PSSnapin Microsoft.Exchange.Management.PowerShell.SnapIn
Set-User -Identity USER@DOMAIN -RemotePowerShellEnabled $true
