Dringend patchen: Rund eine viertel Million Exchange-Server angreifbar
Kriminelle nutzen eine Lücke in Microsoft Exchange, um Server zu übernehmen. Dabei gibt es seit Februar einen Patch.
Im Februar veröffentlichte Microsoft ein Sicherheits-Update für eine gefährliche Lücke in Microsoft Exchange. Diese ermöglicht es Angreifern, den Server aus dem Internet anzugreifen und zu übernehmen. Und Kriminelle nutzen das aktiv aus. Doch immer noch sind über 60% der ursprünglich anfälligen Server verwundbar – also fast 250.000, berichtet die Sicherheitsfirma Rapid7.
Rapid7 weiß, wovon sie spricht: Die Firma entwickelt das Penetration-Testing-Framework Metasploit, für das sie auch bereits einen funktionsfähigen Exploit für die Lücke CVE-2020-0688 entwickelt hat. Anfang April waren nach ersten Tests 350.000 Systeme angreifbar. Obwohl unter anderem das US-CERT bereits vor aktiven Angriffen durch staatliche Hacker warnte, spielen offenbar viele Admins die Microsoft-Updates nicht ein.
Angriff auf Exchange
Bei der Lücke handelt es sich um einen Fehler bei der Erstellung von Schlüsseln, mit denen Exchange unter anderem die Echtheit von Objekten überprüft, erklärt Microsoft in Microsoft Exchange Validation Key Remote Code Execution Vulnerability. Statt zufälliger Schlüssel verwenden alle Exchange-Server die gleichen statischen Keys validationKey und decryptionKey für das Web-Interface. So kann ein Exchange-Nutzer eigenen Code einschleusen, der dann mit SYSTEM-Rechten ausgeführt wird und den Exchange-Server komplett übernimmt. Der Angreifer benötigt allerdings bereits gültige Zugangsdaten.
Exchange ist die Kommunikationszentrale vieler Unternehmen. Ein erfolgreicher Angriff darauf legt den Grundstein für Spionage und viele weitere Angriffsszenarien wie CEO-Fraud oder Erpressung. Administratoren sollten ihre Exchange-Installation dringend überprüfen und absichern.
(ju)
