In Microsoft Exchange Server wurden einige schwerwiegende Schwachstellen entdeckt. Durch Updates wurden die Lücken vor Kurzem bereits behoben, sie werden aber dennoch vermehrt von Angreifern ausgenutzt. Mit einem PowerShell-Skript bietet Microsoft Administratoren nun die Möglichkeit zu prüfen, ob ein Exchange Server bereits erfolgreich angegriffen wurde.

Das PowerShell-Skript steht auf Microsofts GitHub-Repository 'CSS-Exchange' bereit und kann einen oder mehrere Exchange-Server auf Spuren untersuchen, die auf einen erfolgreichen Angriff hindeuten - so BleepingComputer. Am 2. März hatte Microsoft die Schwachstellen mitsamt Updates bekannt gegeben - Angriffe wurden zu diesem Zeitpunkt bereits aktiv durchgeführt. Ein Angriff, welcher die Schwachstellen CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 und CVE-2021-27065 kombiniert, wird als "ProxyLogon" bezeichnet und erlaubt die Codeausführung aus der Ferne. Voraussetzung für einen Angriff ist ein aktivierter Outlook Web Access (OWA).

Das PowerShell-Skript Test-ProxyLogon.ps1 sucht nach typischen Merkmalen von "ProxyLogon"-Angriffen. Details hierzu wurden bereits in einem Blogpost von Microsoft veröffentlicht. Von dem Skript werden verschiedene manuellle Tests zusammengefasst, bei denen Exchange-Logs, Exchange-HttpProxy-Logs und Windows-Application-Event-Logs durchsucht werden.

Die Schwachstellen sollten möglichst zeitnah mithilfe der verfügbaren Updates geschlossen und eine Untersuchung mit dem PowerShell-Skript durchgeführt werden. Schätzungen zufolge sind bereits mehrere zehntausend Systeme in Deutschland von den Angriffen betroffen.

(jb, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE