Jetzt patchen! CERT-Bund stößt abermals auf tausende angreifbare Exchange Server
12.000 Exchange Server in Deutschland sind verwundbar und öffentlich erreichbar. Einige Server sind trotz anderslautender Anzeige nicht vollständig gepatcht.
(Bild: Photon photo/Shutterstock.com)
Admins von Exchange Servern sollten die Aktualität ihrer Systeme prüfen. Geschieht dies nicht, könnten Angreifer im schlimmsten Fall Schadcode auf Server schieben und ausführen. Klappt das, gelten Systeme in der Regel als vollständig kompromittiert.
Attacken laufen schon länger
Wie das Notfallteam des Bundesamts für Sicherheit in der Informationstechnik (BSI) CERT-Bund in einer aktuellen Untersuchung herausgefunden hat, sind rund 12.000 Exchange Server der Versionen 2013, 2016 und 2019 nicht nur attackierbar, sondern auch öffentlich über das Internet via Outlook Web Access (OWA) erreichbar.
Angreifer könnten so direkt an mehreren Sicherheitslücken (unter anderem CVE-2021-26427 „kritisch“, CVE-2021-42321 „hoch“) ansetzen. Sind Attacken erfolgreich, könnten Angreifer eigene Befehle ausführen und so die volle Kontrolle über ganze Netzwerke inklusive des Active Directory erlangen. Eine Lücke nutzen Angreifer bereits aus.
Verwirrender Patchstand
Sicherheitspatches sind seit Oktober und November verfügbar. Teils sind die Server auch noch für Proxy-Logon-Attacken anfällig. Diese Sicherheitspatches gibt es bereits seit März 2021. Das Problem ist aber, dass Exchange Server beispielsweise unter Umständen zwar einen aktuellen Cumulative-Update-Stand anzeigen, die Sicherheitsupdates in einigen Fällen aber gar nicht vollständig installiert sind. Diese Systeme sind weiterhin verwundbar und Admins könnten sich in trügerischer Sicherheit wiegen. Darauf hat ein Mitarbeiter einer IT-Security-Firma heise Security hingewiesen und nun hat das CERT-Bund diesen Umstand bestätigt.
Der konkrete Grund für die unvollständige Patch-Installation ist derzeit noch unbekannt. So kann es einem Support-Beitrag von Microsoft zufolge etwa aufgrund von unzureichenden Nutzerrechten zu Problemen bei der Installation von Exchange-Updates kommen.
Insgesamt geht das CERT-Bund von einer hohen Dunkelziffer von nicht vollständig gepatchten und somit verwundbaren Servern aus. Die Antwort von Microsoft auf eine Anfrage von heise Security zur aktuellen Problematik steht noch aus.
Exchange-Attacken ohne Ende
Angriffe auf Exchange Server sorgen seit Monaten für Schlagzeilen. Erst Anfang November 2021 warnte das CERT-Bund-Team vor 8000 verwundbaren Exchange Servern, deren Support ausgelaufen ist. Diese Systeme bekommen keine Sicherheitsupdates mehr und stellen ein Angriffsrisiko dar.
(UPDATE 01.12.2021 14:30 Uhr)
Fließtext in Bezug auf bedrohte Exchange-Versionen überarbeitet.
(des)