UPDATE: Warning: New attack campaign utilized a new 0-day RCE vulnerability on Microsoft Exchange Server

Sehr geehrte Kunden und Partner,

es gibt Berichte, dass ein neuer Zero-Day-Exploit in Microsoft Exchange existiert, der aktiv in freier Wildbahn ausgenutzt wird und Angreifern eine Remote Code Execution (RCE) auf kompromittierten Zielsystemen ermöglicht.

Aktuell ist davon auszugehen, dass auch ein Stand 09/2022 voll aktualisiertes Windows/Exchange System verwundbar ist.

Es sollten dringend Gegenmaßnahmen mit dem Workaround zum Abschwächen der Schwachstelle eingeleitet werden.

Weitere Infos hier:

https://www.bleepingcomputer.com/news/security/new-microsoft-exchange-zero-days-actively-exploited-in-attacks/

und hier:

https://gteltsc.vn/blog/warning-new-attack-campaign-utilized-a-new-0day-rce-vulnerability-on-microsoft-exchange-server-12715.html

Hier ist auch der Workaround zum Abschwächen der Schwachstelle beschrieben sowie mögliche Erkennungsmuster.

Für alle Exchange Hosting Kunden:
Die OWIS365 gehosteten Exchange Server wurden bereits entsprechend behandelt.

UPDATE 22.09.2022 11:15 Uhr:

• Fortinet und Sophos haben bereits passende Rule Updates verteilt, die den Angriff erkennen und blockieren.
• Bei KEMP Loadbalancern kann eine entsprechende 403 Regel konfiguriert werden. (Bei Interesse bitte Ticket öffnen)
• Cylance geschützte Systeme sollten, wie beim HAFNIUM Angriff, möglichen gedroppten Payload ebenfalls blocken.