Microsoft Exchange: Angreifer scannen nach ProxyShell

09.08.2021
G DATA Blog

Eine Reihe von Sicherheitslücken mit der Bezeichnung „ProxyShell“ ist derzeit das Ziel von Angreifern. Die Schwachstellen sind bereits seit April und Mai dieses Jahres geschlossen. Betroffene Unternehmen müssen ihre Exchange-Server sofort patchen.

Rund um die jährlich in Las Vegas stattfindende Sicherheitskonferenz „BlackHat“ veröffentlichen Sicherheitsforscher oftmals bisher unbekannte Sicherheitslücken. So auch dieses Jahr: Drei Sicherheitslücken in Microsoft Exchange sorgen einmal mehr für Arbeit für Unternehmen, die einen Exchange-Server lokal betreiben. Die Bezeichnungen lauten CVE-2021-34473, CVE-2021-34523 und CVE-2021-31207.

Der auf den Namen „ProxyShell“ getaufte Angriff bedient sich dieser drei Sicherheitslücken, um Zugriff auf verwundbare Systeme zu erlangen. Potenziell sind zirka 400.000 Exchange-Server weltweit betroffen. In diesem Zusammenhang warnt das Forscherteam  davor, Exchange-Server  zum Internet hin zu exponieren. Exchange-Instanzen, die über Port 443 aus dem Internet erreichbar sind, haben ein erhöhtes Risiko, zum Ziel eines Angriffs zu werden.
Betroffen sind lokale Installationen von Microsoft Exchange 2013, 2016 und 2019.

 

Parallelen zu Hafnium-Angriffen

Wie  bei den Exchange-Sicherheitslücken, die die Hafnium-Gruppe ausgenutzt hatte, haben Angreifer auch im Falle einer der „ProxyShell“-Sicherheitslücken  damit begonnen, aktiv nach verwundbaren Systemen zu suchen. Es ist damit zu rechnen, dass diese Aktivitäten in den kommenden Tagen weiter zunehmen.
Unverzügliches Handeln ist sehr wichtig, da ein Angreifer das System komplett übernehmen kann, wenn dieses kompromittiert ist.  Die Ausführung von beliebigen Programmcodes ist dabei möglich.

 

Angriff aus einer neuen Perspektive

Alle Sicherheitslücken sind bereits gepatcht – zwei davon bereits seit April (Patch KB5001779) und eine seit Mai  (KB5002325) . Es stand also ein Update bereit, bevor Microsoft erstmals im Juli von außen informiert wurde. Es spricht also einiges dafür, dass die Lücke intern bekannt war und „im Stillen“ gepatcht wurde. Nach Aussage des Sicherheitsforschers mit dem einprägsamen Handle Orange Tsai hat ProxyShell „bisher nie dagewesene Auswirkungen“, da die Erforschung der Angriffsmethode nicht wie üblich auf Speicherlecks oder Logikfehlern basiert, sondern auf „einem Ansatz, der sich auf die Architektur des Systems“ konzentriert.

Tim Berghoff
Security Evangelist