Microsoft Exchange: Angreifer scannen nach ProxyShell

G Data News
Anzeige

Beitrag teilen

Eine Reihe von Sicherheitslücken mit der Bezeichnung „ProxyShell“ sind derzeit das Ziel von Angreifern. Die Schwachstellen sind bereits seit April und Mai geschlossen. G Data empfiehlt, dass betroffene Unternehmen ihre Exchange-Server sofort patchen. 

Rund um die jährlich in Las Vegas stattfindende Sicherheitskonferenz BlackHat veröffentlichen Sicherheitsforscher oftmals bisher unbekannte Sicherheitslücken – so auch in diesem Jahr: Drei Schwachstellen in Microsoft Exchange sorgen einmal mehr für Arbeit in Unternehmen, die einen Exchange-Server lokal betreiben. Die Bezeichnungen lauten:

Anzeige

  • CVE-2021-34473
  • CVE-2021-34523
  • CVE-2021-31207

„Bereits die Angriffe der Hafnium-Gruppe auf lokale Exchange-Server im März dieses Jahres führten zu einer extremen Anzahl von Sicherheitsvorfällen“, sagt Tim Berghoff, Security Evangelist bei G DATA CyberDefense. „Da Angreifer aktiv versuchen die Lücke auszunutzen, ist unverzügliches Handeln sehr wichtig. Die Patches sind bereits seit April beziehungsweise Mai verfügbar.“

Zirka 400.000 Exchange-Server weltweit betroffen

Der auf den Namen „ProxyShell“ getaufte Angriff bedient sich dieser drei Sicherheitslücken, um Zugriff auf verwundbare Systeme zu erlangen. Potenziell sind zirka 400.000 Exchange-Server weltweit betroffen. In diesem Zusammenhang warnt das Forscherteam davor, Exchange-Server zum Internet hin zu exponieren. Exchange-Instanzen, die über Port 443 aus dem Internet erreichbar sind, haben ein erhöhtes Risiko, zum Ziel eines Angriffs zu werden.

Anzeige

Betroffen sind lokale Installationen von Microsoft Exchange 2013, 2016 und 2019.

Parallelen zu Hafnium-Angriffen

Wie bei den Exchange-Sicherheitslücken, die die Hafnium-Gruppe ausgenutzt hatte, haben Angreifer auch im Falle einer der „ProxyShell“-Sicherheitslücken damit begonnen, aktiv nach verwundbaren Systemen zu suchen. Es ist damit zu rechnen, dass diese Aktivitäten in den kommenden Tagen weiter zunehmen.

Angriff aus einer neuen Perspektive

Alle Sicherheitslücken sind bereits gepatcht – zwei davon bereits seit April (Patch KB5001779) und eine seit Mai (KB5002325). Es stand also ein Update bereit, bevor Microsoft erstmals im Juli von außen informiert wurde. Es spricht also einiges dafür, dass die Lücke intern bekannt war und „im Stillen“ gepatcht wurde. Nach Aussage des Sicherheitsforschers mit dem einprägsamen Handle Orange Tsai hat ProxyShell „bisher nie dagewesene Auswirkungen“, da die Erforschung der Angriffsmethode nicht wie üblich auf Speicherlecks oder Logikfehlern basiert, sondern auf „einem Ansatz, der sich auf die Architektur des Systems“ konzentriert.

Mehr bei Sophos.com

 


Über G Data

Mit umfassenden Cyber-Defense-Dienstleistungen macht der Erfinder des AntiVirus Unternehmen verteidigungsfähig gegen Cybercrime. Über 500 Mitarbeiter sorgen für die digitale Sicherheit von Unternehmen und Anwendern. Made in Germany: Mit über 30 Jahren Expertise in Malwareanalyse betreibt G DATA Forschung und Softwareentwicklung ausschließlich in Deutschland. Höchste Ansprüche an den Datenschutz sind oberstes Gebot. 2011 hat G DATA mit dem Vertrauenssiegel „IT Security Made in Germany“ des TeleTrust e.V. eine „No-Backdoor“-Garantie abgegeben. G DATA bietet ein Portfolio von AntiVirus und Endpoint Protection über Penetrationstests und Incident Response bis zu forensischen Analysen, Security-Status-Checks und Cyber-Awareness-Trainings, um Unternehmen wirksam zu verteidigen. Neue Technologien wie DeepRay schützen mit Künstlicher Intelligenz vor Malware. Service und Support gehören zum G DATA Campus in Bochum. G DATA Lösungen sind in 90 Ländern erhältlich und wurden vielfach ausgezeichnet.


 

Passende Artikel zum Thema

Zyxel: Sicherheitslücken in Firewalls, Access Points und Controllern

In vielen Firewalls, Access Points und Access Point Controllern von Zyxel sind mehrere Sicherheitslücken entdeckt worden. Kunden sollten die bereitgestellten ➡ Weiterlesen

Studie zur Active Directory-Sicherheitslage von Unternehmen

Semperis veröffentlicht Untersuchung der Active Directory-Sicherheitslage von Unternehmen –Studie enthüllt signifikante Unterschiede zwischen verschiedenen Branchen in Bezug auf AD-Sicherheit. Es ➡ Weiterlesen

Sicherheitslücken in Confluence und Azure

Remote-Code-Execution (RCE) bezeichnet die Ausführung von beliebigem Code auf einem Computersystem, bei dem der Angreifer keinen direkten Zugriff auf die ➡ Weiterlesen

Report: Erwartungen vs. Realität bei Third Party Risk Assessments

Datenschutz, Zugriffsmanagement, Cloud-Sicherheit, Vorfallerkennung und -behandlung und Business Continuity: CyberVadis-Studie deckt potenzielle Lücken auf, die zu einem erhöhten Third Party ➡ Weiterlesen

Konferenz: Sicherheitsschwachstellen aufspüren und beseitigen

Vom 28. bis 30. September 2021 veranstaltet die Hochschule Stralsund die IT-Sicherheitskonferenz mit dem Thema "Sicherheitsschwachstellen aufspüren und beseitigen". Die ➡ Weiterlesen

CodeSentry zur Identifizierung von Sicherheitslücken

GrammaTech präsentiert neue Version des Tools CodeSentry zur Identifizierung von Sicherheitslücken in Third-Party-Code. CodeSentry 2.0 nutzt Binäranalyse, um eine Software Bill ➡ Weiterlesen

Exchange: Neue Sicherheitslücken entdeckt und geschlossen

Mitte April gab es wieder einige kritische Updates für Microsoft Exchange. Ebenso wie bei Hafnium raten Experten dringend zur Installation ➡ Weiterlesen

Mitarbeiter-Test mit Phishing Simulation

Mit der G DATA Phishing Simulation lassen sich Mitarbeiter für gefährliche Mails sensibilisieren. Phishing-Mails wie gefälschte Bewerbungen oder Rechnungen sind ➡ Weiterlesen