Angreifer suchen kurz nach Veröffentlichung neuer Sicherheitsprobleme in Exchange offenbar gezielt nach verwundbaren Systemen. Konkret handelt es sich um die #ProxyShell genannten Lücken. Viele verwundbare Server, die bereits von der Suchmaschine Shodan gefunden wurden, stehen anscheinend in Deutschland - der CERT-Bund warnt bereits.

Updates, die die Lücken schließen, wurden bereits im April und Mai von Microsoft veröffentlicht. Bei der Schwachstelle CVE-2021-31207, welche jedoch nicht zu dem von Orange Tsai demonstrierten ProxyShell-Trio gehört (CVE-2021-34473, CVE-2021-34523 und CVE-2021-31207), sehe die Situation dabei am schlimmsten aus.

Server sollten umgehend aktualisiert werden, wenn dies noch nicht geschehen ist. Zugleich könne eine Untersuchung auf verdächtige Aktivitäten durchgeführt werden. Dazu gehören etwa Zugriffe auf /autodiscover/autodiscover.json oder /mapi/nspi/ in den IIS-Logs.

Ein ProxyShell-Skript für den nmap-Scanner, welches Administratoren zur Überprüfung der eigenen Server verwenden können, wurde zudem von dem Sicherheitsexperten Kevin Beaumont veröffentlicht. Konkret teste es auf Anfälligkeit für die Schwachstelle CVE-2021-34473.

(jb, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE