Es ist noch nicht zu Ende! Kritische Schwachstellen bei Microsoft Exchange Server

Nach den geschlossenen Schwachstellen beim weitverbreiteten E-Mail-Softwaredienst Microsoft Exchange im April und Mai sind weiterhin hunderttausende Server weltweit nicht gepatcht. Viele davon auch in Deutschland.

Sicherheitsforscher gehen davon aus, dass weitere Zero-Day-Exploits bezüglich MS Exchange auftauchen werden. Halten Sie ihre Server auf dem neusten Stand.
Die Maßnahmen gegen die Schwachstellen können in unserem Blogbeitrag „Maßnahmen“ der Exchange-Artikelreihe nachvollzogen werden.

Was ist der aktuelle Stand?

Sicherheitspatches sind im April und Mai von Microsoft zur Verfügung gestellt worden. Trotzdem sind noch um die 400.000 Server weltweit nicht mit diesen gepatcht worden. Viele dieser nicht gepatchten Server stehen in der DACH-Region.

Der CERT-Bund machte darauf auf Twitter aufmerksam.

Landkarte mit Serverstandorten

(Quelle: https://witter.com/certbund/status/1424468051811045382)

Angreifer sind in der Zwischenzeit in der Lage, nach ungepatchten Servern zu suchen, um diese dann gezielt anzugreifen.

Sicherheitsforscher haben mit den bekannten Exploits (ProxyLogon, ProxyShell und ProxyOracle) Exploitchains aufzeigen können, mit denen betroffene Exchange Server angegriffen und übernommen werden können. Diese Angriffsmethodik basiert auf der Architektur von MS Exchange und nicht wie die meisten Exploits auf Logikfehlern oder Speicherüberläufen.

Die Forschergruppe “DEVCORE” hat zu dieser Art der Angriffe einen Vortrag auf der diesjährigen Black Hat 2021 gehalten und die Verkettung der bekannten Schwachstellen und deren Ausnutzung aufgezeigt:

 

Was könnte passieren?

Ebenfalls im Vortrag der Gruppe “DEVCORE” sind Andeutungen zu erkennen, dass noch nicht bekannte Sicherheitslücken aufgetaucht sind bzw. auftauchen könnten.

Dies würde eine weitere Welle an Zero-Day-Exploits bezüglich MS Exchange auslösen und bereits gepatchte Server wären wieder angreifbar. Eine Situation wie im April / Mai könnte sich wiederholen, wobei die Welle an Sicherheitslücken noch gar nicht endgültig geschlossen ist.

Was Sie tun sollten

Überprüfen Sie ihre Server und stellen Sie sicher, dass die Sicherheitspatches, welche im April und Mai veröffentlicht wurden, in Ihrer Serverlandschaft eingespielt wurden. Die vorgestellten Exploitchains nutzen den öffentlich zugänglichen Port 443 der Server. Um sich weiter vor Angriffen zu schützen, ist es empfehlenswert zu prüfen, ob eine Einschränkung oder sogar eine Abschaltung des Ports möglich ist.

Halten Sie ihre Server stets up-to-date und verfolgen Sie die aktuellen Nachrichten bezüglich MS Exchange, damit Sie bei neuen gefundenen und veröffentlichten Sicherheitslücken / -patches sofort eingreifen können und Ihre Serverlandschaft absichern können.

Hier geht es zum Blogartikel „Maßnahmen“, der ausführlicher erklärt, was Sie konkret durchführen müssen.

1 Kommentar

  1. Hallo

    Danke für den Beitrag.
    Man sollteerwähnen, das es keine gute Idee ist, einen Exchange Server ungeschützt ins Internet zu stellen.
    Davor sollte man immer eine VPN oder einen Proxy mit Filter stellen.
    Das war schon vor dem Kritische Schwachstellen wichtig 🙂

    gruss Tobias

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

CAPTCHA *