IT

Cybercrime: Angriffswelle auf Exchange Server

Ungepatchte on-premises Exchange Server in den Versionen 2013 bis 2019 sind seit Freitag im Visier von Hackern. Sicherheitsforscher sollen binnen 48 Stunden die Übernahme von über 1.900 Exchange-Systemen durch installierte WebShells beobachtet haben.
23.08.2021

Microsoft hatte diese Schwachstellen mit Sicherheitsupdates zum April 2021 geschlossen. Administratoren sind daher seit Wochen aufgefordert, die Exchange Server auf den aktuellen Patchstand zu bringen.

Seit Freitag läuft eine massive Angriffswelle auf ungepatchte on-premises Exchange Server in den Versionen 2013 bis 2019, berichtet die Internetplattform heise.de. Die Angriffe nutzen demnach die sogenannte ProxyShell-Schwachstelle.

Kombi von drei Sicherheitslücken

Der CERT-Bund hatte zudem am Samstag über Twitter eine Sicherheitswarnung herausgegeben. Schon Anfang August 2021 hatte laut heise.de ein Sicherheitsforscher neue Angriffsmethoden auf die on-premises Exchange Server vorgestellt. Ende der ersten August-Woche seien bereits erste Scans des Internets nach verwundbaren Exchange-Servern bekannt geworden.

Über eine Kombination dreier Lücken seien Remote-Angriffe per ProxyShell-Exploit auf Systeme möglich, die bisher nicht durch Updates gegen diese Schwachstellen gehärtet wurden und remote durchs Internet erreichbar sind, heißt es weiter.

Sicherheitsupdate von Microsoft im April

Binnen 48 Stunden wurden demnach weltweit über 1.900 ungepatchte Exchange Server mit über 140 WebShells über die ProxyShell-Schwachstelle infiziert. Dabei seien Exchange Server 2013, 2016 und auch 2019 betroffen, wobei die WebShells mit zufälligen Namen versehen sind.

Microsoft hatte  diese Schwachstellen mit Sicherheitsupdates zum April 2021 geschlossen. Administratoren sind daher seit Wochen aufgefordert, die Exchange Server auf den aktuellen Patchstand zu bringen. Zudem sollte sichergestellt sein, dass die Exchange Server nicht ungewollt und ungesichert per Internet erreichbar sind, so der Bericht.

Wer bisher noch nicht gepatcht habe, könnte bereits mit einer Shell als Backdoor auf seinen Exchange-Systemen infiziert sein. Das nachträgliche Patchen entferne diese Hintertüren und Infektionen nicht, heißt es weiter. (sg)