Microsoft
Exchange sollte aufgrund derzeit aktiver Attacken auf den aktuellen
Stand aktualisiert werden. Angreifer können infolge erfolgreicher
Attacken Schadcode ausführen - des Weiteren platzieren Angreifer
für den späteren Zugriff wohl eine Hintertür auf
Systemen. Sicherheitsupdates sind bereits seit Mai und Juli verfügbar.
Betroffen sind Microsoft Exchange Server 2013, 2016, 2019.
Angreifer sind in der Lage, durch Kombination von drei Lücken
(CVE-2021-34473 "kritisch", CVE-2021-34523 "kritisch",
CVE-2021-31205 "mittel"), aus der Ferne die Authentifizierung
zu umgehen, höhere Nutzerrechte zu erlangen und schließlich
Schadcode auszuführen. Sicherheitsforscher
berichten, nachdem vor einigen Tagen Scans nach verwundbaren
Systemen gestartet wurden, nun von ersten Attacken. Es wird vermutet,
dass die Anzahl der Angriffe noch ansteigt - Admins sollten ihre
Exchange Server entsprechend zügig aktualisieren.
Weltweit sind Informationen der Suchmaschine Shodan zufolge 240.000
Exchange Server aus dem Internet erreichbar. Angreifbar sind davon
46.000. Admins können verdächtige Zugriffe in den IIS-Logs
unter anderem über /autodiscover/autodiscover.json oder /mapi/nspi/
ermitteln. Des Weiteren ist ein kostenfreier
Scanner vom Sicherheitsforscher Kevin Beaumont verfügbar,
welcher verwendet werden kann, um die ProxyShell-Anfälligkeit
(CVE-2021-34473) zu testen.
Über 20.000 Server sind zudem für weitere Schadcode-Attacken
(CVE-2021-31206 "hoch") angreifbar, für welche zur
selben Zeit Sicherheitsupdates erschienen sind. Hier sind noch keine
Attacken bekannt.
(jb, hannover)
(siehe auch: Heise-News-Ticker)
Hannover · EDV-Beratung ·
Linux · Novell · Microsoft · Seminar ·
IT-Consult · Netzwerk · LPIC · CLE
|