Microsoft Exchange-Server unter Proxyshell-Angriff

(Quelle: Microsoft)

Microsoft Exchange-Server unter Proxyshell-Angriff

(Quelle: Microsoft)
24. August 2021 - Drei so genannte Proxyshell-Schwachstellen werden von verschiedenen Angreifern aktiv ausgenutzt, um Microsoft Exchange-Server auf der ganzen Welt zu kompromittieren.
Mit drei bekannten Schwachstellen bei Microsoft Exchange verschaffen sich Angreifer weiterhin die Möglichkeit, aus der Ferne Code auf betroffenen Systemen aufzuführen. Zwar sind bereits seit Mai Patches für die Sicherheitslücken vorhanden, viele Systeme seien aber noch nicht aktualisiert und weiterhin verwundbar, so die Sicherheitsforscher von Huntress Labs. In der aktuellen Angriffswelle ist zudem, wie "Heise.de" berichtet, auch eine Ransomware-Gruppe namens Lockfile aktiv: Dese suche gezielt nach verwundbaren Servern, um über einen bekannten NTLM-Relay-Angriff ganze Domänen zu übernehmen und Rechner zu verschlüsseln, wie Sicherheitsforscher von Symantec berichten.

Diese haben binnen 48 Stunden die Übernahme von über 1900 Exchange-Systemen durch installierte Webshells beobachtet. Der deutsche CERT-Bund hat derweil eine Sicherheitswarnung herausgegeben. Die Proxyshell genannten Sicherheitslücken ("Swiss IT Magazine" berichtete) erlauben Angreifern die Ausführung von Remotecode (RCE) und das Abfangen von Klartextpasswörtern.
In einer Präsentation im Rahmen der Hacker-Konferenz Black Hat sagte Devcore-Sicherheitsforscher Orange Tsai, dass eine Untersuchung zeigt, dass mehr als 400'000 Exchange-Server im Internet über Port 443 für diesen Angriff anfällig sind. Am Montag berichtete Jan Kopriva vom SANS Internet Storm Center, dass er über einen Shodan-Scan mehr als 30'000 anfällige Exchange-Server gefunden hat und dass es für jeden Bedrohungsakteur, der diesen Titel verdient, ein Kinderspiel wäre, einen solchen Angriff durchzuführen, da so viele Informationen verfügbar sind.

Nach Berechnungen, die der Sicherheitsforscher Kevin Beaumont getwittert hat, bedeutet dies, dass laut einer Shodan-Suche zwischen Proxylogon und Proxyshell "knapp 50 Prozent der mit dem Internet verbundenen Exchange-Server" derzeit anfällig für Angriffe sind.

Positiv zu vermerken sei, so Sicherheitsforscher Jan Kopriva, dass Microsoft bereits Patches für alle fraglichen Schwachstellen veröffentlicht hat, und: "man könne nur die Daumen drücken, dass die meisten Unternehmen, die Sicherheit zumindest einigermassen ernst nehmen, die Patches bereits installiert haben", so Kopriva.

Die Sicherheitslücken betreffen Exchange Server 2013, 2016 und 2019. (swe)

Neuen Kommentar erfassen

Anti-Spam-Frage Wieviele Zwerge traf Schneewittchen im Wald?
Antwort
Name
E-Mail
SPONSOREN & PARTNER