Exchange ProxyShell-Lücke: Scans suchen nach verwundbaren Servern

Mehrere tausend Server sind allein in Deutschland für die neue Exchange-Lücke anfällig. Dabei gibt es längst Patches von Microsoft.

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 4 Beiträge

(Bild: Timofeev Vladimir/Shutterstock.com)

Von
  • Jürgen Schmidt

Kurz nach der Veröffentlichung neuer Sicherheitsprobleme in Exchange, suchen offenbar bereits Angreifer gezielt nach Systemen, die für die #ProxyShell genannten Lücken anfällig sind. Auch die Good Guys+Gals versuchen, sich einen Überblick über die abermals recht verfahrene Situation zu verschaffen. Demnach stehen viele der verwundbaren Server, die die Suchmaschine Shodan bereits gefunden hat, in Deutschland. CERT-Bund warnt bereits.

Die Suchmaschine Shodan sucht nach Exchange-Servern, die bekannte Sicherheitslücken aufweisen. Viele tausend davon findet sie in Deutschland.

Dabei hat Microsoft bereits im Mai und im Juli Updates veröffentlicht, die diese Exchange-Lücken schließen. Am schlimmsten sieht die Situation bei der Schwachstelle CVE-2021-31207 aus, die allerdings nicht zum auf vom Orange Tsai demonstrierten ProxyShell-Trio gehört (CVE-2021-34473, CVE-2021-34523 und CVE-2021-31207).

Wer die aktuellen Exchange-Patches noch nicht eingespielt hat, sollte seine Server umgehend aktualisieren und dabei auch gleich auf verdächtige Aktivitäten untersuchen. Das können etwa Zugriffe auf /autodiscover/autodiscover.json oder /mapi/nspi/ in den IIS-Logs sein.

Der Sicherheitsexperte Kevin Beaumont hat ein ProxyShell-Skript für den nmap-Scanner veröffentlicht, mit dem Administratoren ihre eigenen Server testen können. Es testet konkret auf Anfälligkeit für die Schwachstelle CVE-2021-34473, die zu ProxyShell gehört.

(ju)