Alert!

Jetzt patchen! Noch 60.000 Exchange-Server für ProxyNotShell-Attacken anfällig

Sicherheitsforscher warnen vor verwundbaren Exchange-Servern. 30.000 davon sind in Europa – der Großteil in Deutschland. Sicherheitspatches sind verfügbar.

In Pocket speichern vorlesen Druckansicht 34 Kommentare lesen

(Bild: Den Rise/Shutterstock.com)

Lesezeit: 2 Min.

Admins von Exchange-Servern sollten sicherstellen, dass die Sicherheitsupdates aus November 2022 installiert sind. Andernfalls könnten Angreifer an mehreren Lücken ansetzen und Systeme vollständig kompromittieren.

Schadcode-Attacken finden bereits seit September 2022 statt. Jüngst verschärfte sich die Lage, als Angreifer zwei Schwachstellen (CVE-2022-41082 "hoch", CVE-2022-41080 "hoch") auf eine neue Art und Weise kombiniert haben.

Ende Dezember 2022 haben Sicherheitsforscher der Shadowserver Foundation das Internet gescannt und sind einem Beitrag auf Twitter zufolge auf rund 70.000 verwundbare Server gestoßen. Mittlerweile sollen es aktuellen Dashboard-Daten zufolge noch ungefähr 60.000 Systeme sein. Aus den Zahlen geht hervor, dass knapp 30.000 Server in Europa sind. In Deutschland sind es Anfang 2023 noch rund 10.000 verwundbare Exchange Server.

Sind Attacken erfolgreich, stehen Angreifer mit höheren Nutzerrechten da und können Schadcode ausführen. So etwas führt in der Regel zur vollständigen Kompromittierung von Systemen. Angreifer infizieren Server darüber unter anderem mit dem Verschlüsselungstrojaner Play.

Außerdem sollen sie sich über Hintertüren dauerhaft auf Servern einnisten. Vor dem Hintergrund, dass Exchange-Server im Firmenumfeld zum Einsatz kommen, ist das besonders prekär, da Angreifer in dieser Position viel Schaden anrichten können.

Ende September 2022 sorgten die Lücken erstmals für Schlagzeilen. Microsoft benötigte rund einen Monat bis zur Veröffentlichung der Sicherheitsupdates. Die gefährliche Wartezeit mussten Admins mit mehreren, immer wieder ausgebesserten Workarounds überbrücken.

(des)