Microsoft Exchange-Server unter Proxyshell-Angriff
Quelle: Microsoft

Microsoft Exchange-Server unter Proxyshell-Angriff

Drei so genannte Proxyshell-Schwachstellen werden von verschiedenen Angreifern aktiv ausgenutzt, um Microsoft Exchange-Server auf der ganzen Welt zu kompromittieren.
24. August 2021

     

Mit drei bekannten Schwachstellen bei Microsoft Exchange verschaffen sich Angreifer weiterhin die Möglichkeit, aus der Ferne Code auf betroffenen Systemen aufzuführen. Zwar sind bereits seit Mai Patches für die Sicherheitslücken vorhanden, viele Systeme seien aber noch nicht aktualisiert und weiterhin verwundbar, so die Sicherheitsforscher von Huntress Labs. In der aktuellen Angriffswelle ist zudem, wie "Heise.de" berichtet, auch eine Ransomware-Gruppe namens Lockfile aktiv: Dese suche gezielt nach verwundbaren Servern, um über einen bekannten NTLM-Relay-Angriff ganze Domänen zu übernehmen und Rechner zu verschlüsseln, wie Sicherheitsforscher von Symantec berichten.


Diese haben binnen 48 Stunden die Übernahme von über 1900 Exchange-Systemen durch installierte Webshells beobachtet. Der deutsche CERT-Bund hat derweil eine Sicherheitswarnung herausgegeben. Die Proxyshell genannten Sicherheitslücken ("Swiss IT Magazine" berichtete) erlauben Angreifern die Ausführung von Remotecode (RCE) und das Abfangen von Klartextpasswörtern.
In einer Präsentation im Rahmen der Hacker-Konferenz Black Hat sagte Devcore-Sicherheitsforscher Orange Tsai, dass eine Untersuchung zeigt, dass mehr als 400'000 Exchange-Server im Internet über Port 443 für diesen Angriff anfällig sind. Am Montag berichtete Jan Kopriva vom SANS Internet Storm Center, dass er über einen Shodan-Scan mehr als 30'000 anfällige Exchange-Server gefunden hat und dass es für jeden Bedrohungsakteur, der diesen Titel verdient, ein Kinderspiel wäre, einen solchen Angriff durchzuführen, da so viele Informationen verfügbar sind.

Nach Berechnungen, die der Sicherheitsforscher Kevin Beaumont getwittert hat, bedeutet dies, dass laut einer Shodan-Suche zwischen Proxylogon und Proxyshell "knapp 50 Prozent der mit dem Internet verbundenen Exchange-Server" derzeit anfällig für Angriffe sind.


Positiv zu vermerken sei, so Sicherheitsforscher Jan Kopriva, dass Microsoft bereits Patches für alle fraglichen Schwachstellen veröffentlicht hat, und: "man könne nur die Daumen drücken, dass die meisten Unternehmen, die Sicherheit zumindest einigermassen ernst nehmen, die Patches bereits installiert haben", so Kopriva.

Die Sicherheitslücken betreffen Exchange Server 2013, 2016 und 2019. (swe)


Weitere Artikel zum Thema

Exchange Server werden über Proxyshell-Schwachstelle angegriffen

17. August 2021 - Administratoren eines Exchange Servers sollten diesen schnellstmöglich patchen, denn die Proxyshell-Schwachstelle wird derzeit aktiv für Angriffe ausgenutzt.

Hacker verbreiten Ransomware über Printnightmare-Lücke

16. August 2021 - Die Sicherheitslücken im Windows-Druckerspooler werden derzeit aktiv von Hackern ausgenutzt, um Ransomware auf den Zielrechnern einzuschleusen. Admins sollten die zur Verfügung stehenden Patches schnellstens aufspielen.

Neues Print-Spooler-Leck in Windows 10

13. August 2021 - Microsoft informiert über eine neue Sicherheitsschwachstelle im Zusammenhang mit dem Windows-Drucker-Spooler. Admins wird empfohlen, den Spooler-Dienst auszuschalten.


Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Vor wem mussten die sieben Geisslein aufpassen?
GOLD SPONSOREN
SPONSOREN & PARTNER