Angreifer suchen kurz nach Veröffentlichung neuer Sicherheitsprobleme
in Exchange offenbar gezielt nach verwundbaren Systemen. Konkret
handelt es sich um die #ProxyShell genannten Lücken. Viele
verwundbare Server, die bereits von der Suchmaschine Shodan gefunden
wurden, stehen anscheinend in Deutschland - der
CERT-Bund warnt bereits.
Updates, die die Lücken schließen, wurden bereits im
April und Mai von Microsoft veröffentlicht. Bei der Schwachstelle
CVE-2021-31207, welche jedoch nicht zu dem von Orange Tsai demonstrierten
ProxyShell-Trio gehört (CVE-2021-34473, CVE-2021-34523 und
CVE-2021-31207), sehe die Situation dabei am schlimmsten aus.
Server sollten umgehend aktualisiert werden, wenn dies noch nicht
geschehen ist. Zugleich könne eine Untersuchung auf verdächtige
Aktivitäten durchgeführt werden. Dazu gehören etwa
Zugriffe auf /autodiscover/autodiscover.json oder /mapi/nspi/ in
den IIS-Logs.
Ein
ProxyShell-Skript für den nmap-Scanner, welches Administratoren
zur Überprüfung der eigenen Server verwenden können,
wurde zudem von dem Sicherheitsexperten Kevin Beaumont veröffentlicht.
Konkret teste es auf Anfälligkeit für die Schwachstelle
CVE-2021-34473.
(jb, hannover)
(siehe auch: Heise-News-Ticker)
Hannover · EDV-Beratung ·
Linux · Novell · Microsoft · Seminar ·
IT-Consult · Netzwerk · LPIC · CLE
|