Exchange Zero Day: Microsoft muss Workaround abändern

5. Oktober 2022, 09:48
  • security
  • lücke
  • microsoft
image

Der erste Workaround bietet nur wenig Schutz.

Ende der vergangenen Woche entdeckten Security-Forscher, dass Hacker damit begonnen haben, zwei neu entdeckte Sicherheitslücken in Exchange-Server anzugreifen. Microsoft bestätigte kurz darauf die Existenz der beiden Sicherheitslücken CVE-2022-41040 und CVE-2022-41082 und veröffentlichte einen Workaround, der On-Premises-Anwender von Exchange schützen soll, bis Patches verfügbar sind.
Mittlerweile haben Security-Experten aber diesen Workaround als ungenügend kritisiert. Die einfache Blockade einer spezifischen URL mittels eines Rewrite-Moduls im IIS Server sei einfach zu umgehen, erklärten sie. Auch das CERT Coordination Center der Carnegie Mellon Universität äusserte sich ähnlich.
Nun hat Microsoft darauf reagiert und seine Beschreibung des Workarounds sowie die dazugehörige Schritt-für-Schritt-Anleitung aufdatiert, um die Kritiken zu berücksichtigen. Exchange-Anwender sollten also dringend diese neue Anleitung berücksichtigen.


Loading

Mehr zum Thema

image

Mutmasslicher Cyberangriff auf den Vatikan

Russische Hacker sollen verschiedene Websites des Zwergstaates angegriffen haben, weil der Papst den Angriffskrieg in der Ukraine als "grausam" bezeichnete.

publiziert am 1.12.2022
image

Polizei in San Francisco will Roboter zum Töten einsetzen

Eine Mehrheit eines kommunalen Gremiums hat die umstrittene Richtlinie nach wochenlanger Prüfung und einer hitzigen Debatte angenommen. Kritische Stimmen wehren sich gegen den Entscheid.

publiziert am 30.11.2022
image

Datenschutzbedenken wegen M365: Microsoft wehrt sich heftig

In Deutschland, Frankreich und der Schweiz stehen M365-Anwendungen in der Kritik der Datenschützer. Microsoft erklärt, die Bedenken seien "dogmatischer Selbstzweck".

publiziert am 30.11.2022 1
image

NCSC warnt vor neuer Office-365-Phishing-Variante

Der neue Trick scheint noch ausgeklügelter zu sein als bisherige Phishing-Tricks.

publiziert am 29.11.2022