Angriffe auf Exchange-Server – Microsoft stellt Prüf-Skript für Admins bereit

Sicherheitslücken im Exchange-Server ziehen derzeit Angriffe auf sich. Microsoft stellt ein Skript bereit, mit dem Administratoren ihre Systeme prüfen können.

In Pocket speichern vorlesen Druckansicht 256 Kommentare lesen

(Bild: antb/Shutterstock.com)

Lesezeit: 2 Min.

Microsoft Exchange Server enthält mehrere schwerwiegende Schwachstellen, die zwar seit Kurzem per Update geschlossen sind, aber vermehrt von Cyberkriminellen ausgenutzt werden. Der Hersteller bietet Administratoren nun die Möglichkeit, mit einem PowerShell-Skript zu prüfen, ob ein Exchange-Server bereits erfolgreich angegriffen wurde.

Auf Microsofts GitHub-Repository 'CSS-Exchange' (betrieben von den 'Support Engineers for Microsoft Exchange Server') steht ein PowerShell-Skript bereit, das einen oder mehrere Exchange-Server auf Spuren untersucht, die ein erfolgreicher Angriff hinterlässt. Darüber berichtet BleepingComputer. Die Schwachstellen samt Updates dazu hatte Microsoft am 2. März publik gemacht – zu diesem Zeitpunkt waren aber bereits Angriffe darauf beobachtet worden (zero day). Kombiniert ein Angreifer die Schwachstellen mit den Bezeichnungen CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 und CVE-2021-27065 miteinander, bezeichnet man diesen Angriff als "ProxyLogon". Er erlaubt das Ausführen von Code aus der Ferne und setzt aktivierten Outlook Web Access voraus (OWA).

Das PS-Skript Test-ProxyLogon.ps1 bei GitHub sucht nach Angriffsmerkmalen, die für ProxyLogon typisch sind. Microsoft hatte die Details dazu bereits in einem Blogpost veröffentlicht, dieses Skript fasst die manuellen Tests jedoch zusammen und macht es Administratoren erheblich einfacher, ihre Exchange-Server zu prüfen. Das Skript durchsucht Exchange-Logs, Exchange-HttpProxy-Logs und Windows-Application-Event-Logs.

Auf einem lokalen Exchange-Server (auf der Exchange Management Shell) gibt das Skript seine Ergebnisse direkt aus:

.\Test-ProxyLogon.ps1

Die Ausgabe lässt sich speichern:

.\Test-ProxyLogon.ps1 -OutPath $home\desktop\logs

Wer mehrere Exchange-Server betreibt, kann alle Systeme zugleich untersuchen (und das Ergebnis speichern):

Get-ExchangeServer | .\Test-ProxyLogon.ps1 -OutPath $home\desktop\logs

Exchange-Administratoren sollten die Schwachstellen sofort durch das Einspielen der neuesten Updates schließen und ihre Systeme möglichst auch mit diesem Skript auf einen Angriff untersuchen. Das Ausmaß der bereits erfolgten Angriffe ist offenbar erheblich, Schätzungen gehen von mehreren zehntausend Systemen in Deutschland aus, die zumindest angreifbar sind und wahrscheinlich schon angegriffen wurden. Das BSI warnt vor einem Fiasko für die IT-Security und rät eindringlich dazu, tätig zu werden.

Siehe dazu auch:

(tiw)