Angreifer kombinieren ProxyShell-Lücken und attackieren Microsoft Exchange

Admin sollte aufgrund von Attacken Microsoft Exchange auf den aktuellen Stand bringen. Nach erfolgreichen Attacken können Angreifer Schadcode ausführen. Sicherheitsupdates gibt es bereits seit Mai und Juli. Nach erfolgreichen Attacken platzieren Angreifer für den späteren Zugriff wohl eine Hintertür auf Systemen.

Gefährliche Mischung

Durch die Kombination von drei Lücken (CVE-2021-34473 "kritisch", CVE-2021-34523 "kritisch", CVE-2021-31207 "mittel") können Angreifer aus der Ferne die Authentifizierung umgehen, sich höhere Nutzerrechte verschaffen und am Ende Schadcode ausführen. Im Anschluss gelten Exchange Server als vollständig kompromittiert.

Vor einigen Tagen begannen Scans nach verwundbaren Systemen. Nun berichten verschiedene Sicherheitsforscher erste Attacken. Es ist davon auszugehen, dass die Anzahl der Angriffe ansteigt. Admins sollten ihre Exchange Server also zügig aktualisieren. Konkret betroffen sind Microsoft Exchange Server 2013, 2016, 2019.

Informationen der Suchmaschine Shodan zufolge sind weltweit 240.000 Exchange Server aus dem Internet erreichbar. 46.000 sollen angreifbar sein. Hierzulande stößt man auf 50.000 Server, von denen über 7800 verwundbar sind. Verdächtige Zugriffe in den IIS-Logs können Admins beispielsweise via /autodiscover/autodiscover.json oder /mapi/nspi/ ermitteln. Mit einem kostenlosen Scanner vom Sicherheitsforscher Kevin Beaumont können Admins ihre Server auf ProxyShell-Anfälligkeit (CVE-2021-34473) testen.

Stehen weitere Attacken bevor?

Interessant ist, dass über 20.000 Server für weitere Schadcode-Attacken (CVE-2021-31206 "hoch") angreifbar sind, die im gleichen Schwung ein Sicherheitsupdate bekommen haben. Dokumentierte Attacken gibt es noch nicht, könnten aber bevorstehen. Auch hier heißt es also: Jetzt pachten!

(des)