Jetzt patchen! Über 350.000 Microsoft Exchange Server immer noch attackierbar
Auch wenn Angreifer schon seit Ende Februar Ausschau nach verwundbaren Exchange Servern halten, haben viele Admins offensichtlich noch nicht gepatcht.
Microsofts Groupware- und E-Mail-Transport-Server Exchange Server ist in verschiedenen Versionen über eine Sicherheitslücke (CVE-2020-0688) angreifbar. Nun haben Sicherheitsforscher von Rapid7 herausgefunden, dass mehr als 350.000 über das Internet erreichbare Exchange Server trotz verfügbarer Sicherheitsupdates immer noch verwundbar sind.
Patches hat Microsoft bereits Anfang Februar veröffentlicht (siehe Download-Links am Ende dieser Meldung). Seit Ende Februar scannen Angreifer aktiv nach angreifbaren Systemen. Auch wenn Microsoft in einem Beitrag die Patches nur als "wichtig" einstuft, sollten Admins spätestens jetzt reagieren und ihre Exchange Server aktualisieren.
Geschieht dies nicht, könnten authentifizierte Angreifer Schadcode mit System-Rechten ausführen. In so einem Fall gelten Server als vollständig kompromittiert und Angreifer hätten beispielsweise Zugriff auf E-Mails oder das Active Directory.
Scans nach verwundbaren Servern
Während ihrer Untersuchungen entdeckten die Sicherheitsforscher 433.464 Exchange Server, die über den Outlook-Web-App-Service (OWA) über das Internet erreichbar sind. Davon sind ihnen zufolge mindestens 357.629 noch nicht gepatcht. In einem Beitrag führen sie aus, dass der Patch von Microsoft die Build-Nummer wohl nicht immer verlässlich aktualisiert und so das Auslesen von verwundbaren Servern erschwert.
Der Scan förderte aber noch weitere bedenkliche Zahlen zutage: Demzufolge wurden 31.000 Exchange 2010 Server seit 2012 nicht aktualisiert. 800 Exchange 2010 Server wurden noch nie gepatcht. Darüber hinaus stießen die Sicherheitsforscher noch auf fast 11.000 Exchange 2007 Server. Da der Support für diese Version seit 2017 ausgelaufen ist, gibt es seitdem keine Sicherheitsupdates mehr.
Jetzt handeln!
Admins sollten also zügig ihre Exchange Server auf den aktuellen Stand bringen. In ihrem Beitrag erläutern die Sicherheitsforscher, anhand welcher Parameter in Windows Event Log und den IIS-Logs Admins Hinweise auf eine Kompromittierung finden können.
Sicherheitsupdates für Microsoft Exchange Server:
- Microsoft Exchange Server 2010 Service Pack 3 Update Rollup 30
- Microsoft Exchange Server 2013 Cumulative Update 23
- Microsoft Exchange Server 2016 Cumulative Update 14
- Microsoft Exchange Server 2016 Cumulative Update 15
- Microsoft Exchange Server 2019 Cumulative Update 3
- Microsoft Exchange Server 2019 Cumulative Update 4
(des)
