Microsoft Exchange sollte aufgrund derzeit aktiver Attacken auf den aktuellen Stand aktualisiert werden. Angreifer können infolge erfolgreicher Attacken Schadcode ausführen - des Weiteren platzieren Angreifer für den späteren Zugriff wohl eine Hintertür auf Systemen. Sicherheitsupdates sind bereits seit Mai und Juli verfügbar. Betroffen sind Microsoft Exchange Server 2013, 2016, 2019.

Angreifer sind in der Lage, durch Kombination von drei Lücken (CVE-2021-34473 "kritisch", CVE-2021-34523 "kritisch", CVE-2021-31205 "mittel"), aus der Ferne die Authentifizierung zu umgehen, höhere Nutzerrechte zu erlangen und schließlich Schadcode auszuführen. Sicherheitsforscher berichten, nachdem vor einigen Tagen Scans nach verwundbaren Systemen gestartet wurden, nun von ersten Attacken. Es wird vermutet, dass die Anzahl der Angriffe noch ansteigt - Admins sollten ihre Exchange Server entsprechend zügig aktualisieren.

Weltweit sind Informationen der Suchmaschine Shodan zufolge 240.000 Exchange Server aus dem Internet erreichbar. Angreifbar sind davon 46.000. Admins können verdächtige Zugriffe in den IIS-Logs unter anderem über /autodiscover/autodiscover.json oder /mapi/nspi/ ermitteln. Des Weiteren ist ein kostenfreier Scanner vom Sicherheitsforscher Kevin Beaumont verfügbar, welcher verwendet werden kann, um die ProxyShell-Anfälligkeit (CVE-2021-34473) zu testen.

Über 20.000 Server sind zudem für weitere Schadcode-Attacken (CVE-2021-31206 "hoch") angreifbar, für welche zur selben Zeit Sicherheitsupdates erschienen sind. Hier sind noch keine Attacken bekannt.

(jb, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE