Für IT-Kriminelle ist der Microsoft Exchange Server ein beliebtes Angriffsziel. In Unternehmen und Behörden ist der E-Mailserver weit verbreitet und immer wieder Einfallstor in deren Netze. Auf der Konferenz Black Hat 2021 stellte der Sicherheitsforscher Orange Tsai letzte Woche neue Angriffe auf die Software vor.

Betreiber von Honeypots beschreiben, dass nur wenige Tage später offenbar gezielt nach der Lücke gesucht wird. Daher sollten Admins die Exchange-Server umgehend mit allen bereitstehenden Updates versorgen. Schon vor Monaten sind diese Updates erschienen und schließen die Lücken.

Im Client Access Service (CAS) von Exchange lag die Schwachstelle, der eingehenden Verkehr für verschiedene Protokolle abwickelt. Die Autodiscover-Funktion war das offene Tor. Bei der Einrichtung rufen E-Mail-Clients über die Autodiscover-Datei Details zum Server ab und ersparen dem Nutzer so, Serveradresse, Port und weitere Details anzugeben.

Für die Probleme, die unter dem Namen ProxyShell in die Geschichte eingehen, gab es drei CVE-Nummern: CVE-2021-34473, CVE-2021-34523 und CVE-2021-31207. Im April und Mai wurden diese von Microsoft mit KB5001779 und KB5003435 behoben. Microsoft hatte die ersten beiden Lücken bereits vor dem Melden von Tsai gepatcht. Exchange-Server-Betreiber, die ihre Server am Internet haben, sollten diese Updates schleunigst einspielen.

(ts, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE