Exchange ProxyShell-Lücke: Scans suchen nach verwundbaren Servern
Mehrere tausend Server sind allein in Deutschland für die neue Exchange-Lücke anfällig. Dabei gibt es längst Patches von Microsoft.
Kurz nach der Veröffentlichung neuer Sicherheitsprobleme in Exchange, suchen offenbar bereits Angreifer gezielt nach Systemen, die für die #ProxyShell genannten Lücken anfällig sind. Auch die Good Guys+Gals versuchen, sich einen Überblick über die abermals recht verfahrene Situation zu verschaffen. Demnach stehen viele der verwundbaren Server, die die Suchmaschine Shodan bereits gefunden hat, in Deutschland. CERT-Bund warnt bereits.
Dabei hat Microsoft bereits im Mai und im Juli Updates veröffentlicht, die diese Exchange-Lücken schließen. Am schlimmsten sieht die Situation bei der Schwachstelle CVE-2021-31207 aus, die allerdings nicht zum auf vom Orange Tsai demonstrierten ProxyShell-Trio gehört (CVE-2021-34473, CVE-2021-34523 und CVE-2021-31207).
Wer die aktuellen Exchange-Patches noch nicht eingespielt hat, sollte seine Server umgehend aktualisieren und dabei auch gleich auf verdächtige Aktivitäten untersuchen. Das können etwa Zugriffe auf /autodiscover/autodiscover.json
oder /mapi/nspi/
in den IIS-Logs sein.
Der Sicherheitsexperte Kevin Beaumont hat ein ProxyShell-Skript für den nmap-Scanner veröffentlicht, mit dem Administratoren ihre eigenen Server testen können. Es testet konkret auf Anfälligkeit für die Schwachstelle CVE-2021-34473, die zu ProxyShell gehört.
(ju)