Auf ungepatchte on-premises Exchange Server in den Versionen 2013,
2016 und 2019 läuft seit Freitag (20. August) eine massive
Angriffswelle. Dies geschieht über die sogenannte ProxyShell-Schwachstelle.
Innerhalb 48 Stunden haben Sicherheitsforscher die Übernahme
von über 1.900 Exchange-Systemen durch installierte WebShells
beobachtet. Zum Samstag, den 21. August, hat der CERT-Bund eine
Sicherheitswarnung
herausgegeben.
Der Sicherheitsforscher Orange Tsai hatte bereits Anfang August
2021 im Rahmen der BlackHat 2021 Hackerkonferenz neue Angriffsmethoden
auf die on-premises Exchange Server vorgestellt. Bereits erste Scans
des Internets nach verwundbaren Exchange-Servern wurden Ende der
ersten August-Woche bekannt. Exchange-Server, die nicht durch Updates
gegen die Lücken CVE-2021-34473 (als "kritisch" eingestuft),
CVE-2021-34523 (ebenfalls "kritisch") und CVE-2021-31207
("mittel") gehärtet wurden, sind durch eine Kombination
der Lücken durch Remote-Angriffe per ProxyShell-Exploit verwundbar.
Weltweit ließen sich über die Suchmaschine Shodan 240.000
aus dem Internet erreichbare Exchange Server ermitteln. 46.000 von
denen sollen angreifbar sein. Ca. 50.000 per Internet erreichbare
Exchange-Server werden in Deutschland ausgewiesen, von denen über
7800 per ProxyShell-Exploit verwundbar sind.
Die für die ProxyShell-Angriffe benutzten Schwachstellen hat
Microsoft
mit Sicherheitsupdates zum April 2021 geschlossen. Exchange-Server,
die bereits infiziert sind, werden durch nachträgliches Einspielen
der Sicherheitsupdates nicht bereinigt. heise
Security hat beschrieben, wie Hinweise auf Infektionen gefunden
werden können und wie die Systeme abgesichert werden.
(ts, hannover)
(siehe auch: Heise-News-Ticker)
Hannover · EDV-Beratung ·
Linux · Novell · Microsoft · Seminar ·
IT-Consult · Netzwerk · LPIC · CLE
|