{"id":269926,"date":"2022-06-30T00:11:00","date_gmt":"2022-06-29T22:11:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=269926"},"modified":"2024-02-11T18:58:00","modified_gmt":"2024-02-11T17:58:00","slug":"microsoft-exchange-server-remote-code-execution-schwachstelle-cve-2022-23277-trotz-patch-ausnutzbar","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/06\/30\/microsoft-exchange-server-remote-code-execution-schwachstelle-cve-2022-23277-trotz-patch-ausnutzbar\/","title":{"rendered":"Microsoft Exchange Server: Remote Code Execution-Schwachstelle CVE-2022-23277 trotz Patch ausnutzbar?"},"content":{"rendered":"

\"Exchange[English<\/a>]Sind auf dem aktuellen Patch-Stand befindliche Microsoft Exchange Server \u00fcber die Remote Code Execution-Schwachstelle CVE-2022-23277 immer noch angreifbar? Mir sind gerade einige Informationsfragmente unter die Augen gekommen, die zumindest nahelegen,\u00a0 dass da (zumindest theoretisch) M\u00f6glichkeiten zur Ausnutzung bestehen. Interessant ist auf jeden Fall die Offenlegung der Details, die zur Schwachstelle f\u00fchrten. Ich versuche mal die Informationen bestm\u00f6glich zusammen zu fassen.<\/p>\n

<\/p>\n

Kurzer R\u00fcckblick auf CVE-2022-23277<\/h2>\n

\"\"Bei CVE-2022-23277<\/a> handelt es sich um eine als kritisch (Score 8.8) eingestufte Remote Code Execution-Schwachstelle, bei der ein Angreifer zwar authentifiziert sein muss.\u00a0 Es ist aber nur eine authentifizierte Rolle mit geringen Berechtigungen (PR:L) auf dem Exchange Server erforderlich. Der Angreifer f\u00fcr diese Sicherheitsanf\u00e4lligkeit k\u00f6nnte die Serverkonten f\u00fcr eine beliebige oder entfernte Codeausf\u00fchrung angreifen. Als authentifizierter Benutzer k\u00f6nnte der Angreifer versuchen, \u00fcber einen Netzwerkaufruf b\u00f6sartigen Code im Kontext des Serverkontos auszul\u00f6sen.<\/p>\n

Gefunden und gemeldet wurde die Schwachstelle von Markus Wulftange. Microsoft hat im M\u00e4rz 2022 zwei als kritisch eingestufte Schwachstellen, unter anderem die Remote Code Execution-Schwachstelle CVE-2022-23277 mit einem Patch f\u00fcr Exchange Server 2013 – 2019 geschlossen. Aber Details zur Schwachstelle wurden keine genannt. Damit war das Thema f\u00fcr mich abgehakt.<\/p>\n

Offenlegung des Problems<\/h2>\n

Markus Wulftange hat zum 28. Juni 2022 seine Erkenntnisse im Beitrag Bypassing .NET Serialization Binders<\/a> ver\u00f6ffentlicht. Er geht im Beitrag darauf ein, dass die Binder zur Serialisierung<\/a> unter .NET-Framework oft\u00a0 verwendet werden, um die in den serialisierten Daten angegebenen Typen zu validieren. Ziel ist es, die Deserialisierung gef\u00e4hrlicher Typen, die mit den Laufzeit-Serialisierern wie dem BinaryFormatter<\/em> b\u00f6sartige Nebeneffekte haben k\u00f6nnen, zu verhindern.<\/p>\n

In seinem Blog-Beitrag wirft Wulftange einen Blick auf F\u00e4lle, in denen diese Pr\u00fcfung fehlschlagen kann und folglich eine Umgehung der Validierung erm\u00f6glicht. Er f\u00fchrt auch zwei reale Beispiele f\u00fcr unsichere Serialisierungsbinder im DevExpress<\/em>-Framework (CVE-2022-28684) und Microsoft Exchange (CVE-2022-23277) an, die er diskutiert. Beide Schwachstellen erm\u00f6glichen eine Remotecodeausf\u00fchrung.<\/p>\n

Ist \"trocken Brot\" f\u00fcr .NET-Entwickler, ich bin da schon zu viele Jahre sehr weit weg, um mich durch die Details zu w\u00fchlen. Das Fazit von Markus Wulftange: Die unsicheren Serialisierer BinaryFormatter<\/em>, SoapFormatter<\/em> und NetDataContractSerializer<\/em> sollten nicht mehr verwendet werden und Legacy-Code sollte auf die bevorzugten Alternativen migriert werden. So weit so gut.<\/p>\n

Tinfanu-CUP und Exchange-Hack<\/h2>\n

Wo es bei mir sofort geklingelt hat, war der nachfolgend gezeigte Tweet<\/a>. Die Aussage: Der PoC-Exploit-Code f\u00fcr die Schwachstelle CVE-2022-23277, die bei Tianfu-Contest zum Hacken von Microsoft Exchange Server verwendet wurde (wei\u00df nicht, ob der Contest 2021 oder 2022 war), funktioniert mit einem leicht angepassten Ansatz weiterhin. Im Screenshot sieht man, dass die MSExchangePowerShell benutzt wurde – hier um Paint aufzurufen.<\/p>\n

<\/a><\/p>\n

Unklar war, ob das auch f\u00fcr einen vollst\u00e4ndig gepatchten Exchange Server, bei dem im M\u00e4rz 2022 die Sicherheitsupdates zum Schlie\u00dfen der Schwachstelle installiert wurden, gilt. Meine erste Interpreation war, dass ein angepasster Exploit auch auf einem gepatchten Exchange Server funktioniert. Im englischsprachigen Blog gibt es inzwischen einen Kommentar, den ich so interpretiere, dass nicht gesagt werden kann, ob der Exploit auf einem gepatchten Exchange ausnutzbar ist (der Microsoft Patch funktioniert, aber es wurde wohl nicht wirklich mit Exploits getestet). Ob da was ausnutzbar ist, bleibt unklar.<\/p>\n

F\u00fcr mich bedeutet das (vom Bauchgef\u00fchl her): Microsoft verwendet eine Menge alten Code, in dem die Serialisierungs-Bindung nicht korrekt auf b\u00f6sartige Parameter \u00fcberpr\u00fcft werden kann – man scheint lediglich eine bestimmte Code-Stelle mit einem Patch versehen. Und beim Sharepoint-Server soll es im Mai 2022 einen \u00e4hnlichen Patch gegeben haben.<\/p>\n

Bewertung offen<\/h2>\n

Ich kann an dieser Stelle nicht sagen, ob das eine negative Auswirkung auf Exchange- und Sharepoint-Installationen hat. Wenn ich es richtig interpretiere, m\u00fcsste der Tinfu-Patch die konkrete Schwachstelle abdichten. Aber es bleibt das Gef\u00fchl, dass da weiterhin einige sicherheitstechnische B\u00f6cke bei der Pr\u00fcfung der Serialisierungs-Bindungen im .NET-Code schlummern. Es ist nur eine Frage der Zeit, bis der n\u00e4chste Patch f\u00e4llig wird.<\/p>\n

Was man als Administrator tun kann?<\/h3>\n

Abschlie\u00dfend bleibt die Frage, was Administratoren von Exchange Servern tun k\u00f6nnen, um weniger Angreifbar f\u00fcr solche Schwachstellen zu werden. Ad hoc fallen mir die \u00fcblichen Ratschl\u00e4ge ein: Sicherstellen, dass Exchange und OWA nicht direkt per Internet erreichbar ist und ggf. \u00fcber einen Reverse Proxy abgeschottet werden (Frank Carius hat hier<\/a> was zu geschrieben) und nur autorisierte Personen Zugriff auf Exchange-Konten haben.<\/p>\n

Im konkreten Fall gibt es noch einen anderen Punkt. Um CVE-2022-23277<\/a> auszunutzen, ben\u00f6tigt der Angreifer einen authentifizierten Zugriff auf ein Exchange-Konto. Hier gilt es sicherzustellen, dass keine verwaisten Konten (ausgeschiedene Mitarbeiter) existieren und dass die Konten nicht \u00fcber schwache Passw\u00f6rter per Brute Force gehackt werden k\u00f6nnen. Falls was fehlt, k\u00f6nnt ihr das in den Kommentaren nachtragen.<\/p>\n

\u00c4hnliche Artikel:
\n<\/strong>Sicherheitsupdates f\u00fcr Exchange Server (Januar 2022)<\/a>
\nSicherheitsupdates f\u00fcr Exchange Server (8. M\u00e4rz 2022)<\/a>
\nTianfu Cup 2021: Exchange 2019 und iPhone gehackt<\/a>
\nTianfu Cup Competition: Windows 10, iOS, Chrome, Firefox gehackt<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Sind auf dem aktuellen Patch-Stand befindliche Microsoft Exchange Server \u00fcber die Remote Code Execution-Schwachstelle CVE-2022-23277 immer noch angreifbar? Mir sind gerade einige Informationsfragmente unter die Augen gekommen, die zumindest nahelegen,\u00a0 dass da (zumindest theoretisch) M\u00f6glichkeiten zur Ausnutzung bestehen. Interessant ist … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,7459],"tags":[5359,4328,4315],"class_list":["post-269926","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-software","tag-exchange","tag-sicherheit","tag-update"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/269926","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=269926"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/269926\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=269926"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=269926"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=269926"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}