Alert!

Angreifer kombinieren ProxyShell-Lücken und attackieren Microsoft Exchange

Nach gezielten Scans gibt es nun erste Attacken auf Exchange Server. In Deutschland gibt es tausende verwundbare Systeme. Patches sind verfügbar.

Lesezeit: 2 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 46 Beiträge

(Bild: AFANASEV IVAN/Shutterstock.com)

Von
  • Dennis Schirrmacher

Admin sollte aufgrund von Attacken Microsoft Exchange auf den aktuellen Stand bringen. Nach erfolgreichen Attacken können Angreifer Schadcode ausführen. Sicherheitsupdates gibt es bereits seit Mai und Juli. Nach erfolgreichen Attacken platzieren Angreifer für den späteren Zugriff wohl eine Hintertür auf Systemen.

Durch die Kombination von drei Lücken (CVE-2021-34473 "kritisch", CVE-2021-34523 "kritisch", CVE-2021-31207 "mittel") können Angreifer aus der Ferne die Authentifizierung umgehen, sich höhere Nutzerrechte verschaffen und am Ende Schadcode ausführen. Im Anschluss gelten Exchange Server als vollständig kompromittiert.

Der Suchmaschine Shodan zufolge sind in Deutschland derzeit 7857 Exchanger Server angreifbar.

(Bild: Shodan )

Vor einigen Tagen begannen Scans nach verwundbaren Systemen. Nun berichten verschiedene Sicherheitsforscher erste Attacken. Es ist davon auszugehen, dass die Anzahl der Angriffe ansteigt. Admins sollten ihre Exchange Server also zügig aktualisieren. Konkret betroffen sind Microsoft Exchange Server 2013, 2016, 2019.

Informationen der Suchmaschine Shodan zufolge sind weltweit 240.000 Exchange Server aus dem Internet erreichbar. 46.000 sollen angreifbar sein. Hierzulande stößt man auf 50.000 Server, von denen über 7800 verwundbar sind. Verdächtige Zugriffe in den IIS-Logs können Admins beispielsweise via /autodiscover/autodiscover.json oder /mapi/nspi/ ermitteln. Mit einem kostenlosen Scanner vom Sicherheitsforscher Kevin Beaumont können Admins ihre Server auf ProxyShell-Anfälligkeit (CVE-2021-34473) testen.

Derzeit kombinieren Angreifer drei ProxyShell-Lücken. Attacken auf CVE-2021-31206 könnten bevorstehen.

(Bild: Shodan )

Interessant ist, dass über 20.000 Server für weitere Schadcode-Attacken (CVE-2021-31206 "hoch") angreifbar sind, die im gleichen Schwung ein Sicherheitsupdate bekommen haben. Dokumentierte Attacken gibt es noch nicht, könnten aber bevorstehen. Auch hier heißt es also: Jetzt pachten!

(des)