Auf ungepatchte on-premises Exchange Server in den Versionen 2013, 2016 und 2019 läuft seit Freitag (20. August) eine massive Angriffswelle. Dies geschieht über die sogenannte ProxyShell-Schwachstelle. Innerhalb 48 Stunden haben Sicherheitsforscher die Übernahme von über 1.900 Exchange-Systemen durch installierte WebShells beobachtet. Zum Samstag, den 21. August, hat der CERT-Bund eine Sicherheitswarnung herausgegeben.

Der Sicherheitsforscher Orange Tsai hatte bereits Anfang August 2021 im Rahmen der BlackHat 2021 Hackerkonferenz neue Angriffsmethoden auf die on-premises Exchange Server vorgestellt. Bereits erste Scans des Internets nach verwundbaren Exchange-Servern wurden Ende der ersten August-Woche bekannt. Exchange-Server, die nicht durch Updates gegen die Lücken CVE-2021-34473 (als "kritisch" eingestuft), CVE-2021-34523 (ebenfalls "kritisch") und CVE-2021-31207 ("mittel") gehärtet wurden, sind durch eine Kombination der Lücken durch Remote-Angriffe per ProxyShell-Exploit verwundbar.

Weltweit ließen sich über die Suchmaschine Shodan 240.000 aus dem Internet erreichbare Exchange Server ermitteln. 46.000 von denen sollen angreifbar sein. Ca. 50.000 per Internet erreichbare Exchange-Server werden in Deutschland ausgewiesen, von denen über 7800 per ProxyShell-Exploit verwundbar sind.

Die für die ProxyShell-Angriffe benutzten Schwachstellen hat Microsoft mit Sicherheitsupdates zum April 2021 geschlossen. Exchange-Server, die bereits infiziert sind, werden durch nachträgliches Einspielen der Sicherheitsupdates nicht bereinigt. heise Security hat beschrieben, wie Hinweise auf Infektionen gefunden werden können und wie die Systeme abgesichert werden.

(ts, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE