ProxyShell Angriffswelle auf Exchange-Server

ProxyShell Angriffswelle auf Exchange-Server

ProxyShell Angriffswelle auf Exchange-Server – Die Sicherheitslücken sind bekannt, es existieren Patches und dennoch sind tausende Exchange Server angreifbar. Nun startet eine große Angriffswelle welche die Schwachstellen ausnutzt. Bereits seit Freitag, 20. August läuft eine massive Angriffswelle auf die ungepatchten Exchange Server Version 2013 bis 2019. Die sogenannte ProxyShell-Schwachstelle ist das Ziel der Angreifer. Wir haben bereits über diese Schwachstellen berichtet. Sicherheitsforscher haben binnen 48 Stunden über 1900 Übernahmen von Exchange-Server beobachten können.

Advertisement

ProxyShell Angriffswelle auf Exchange-Server

Bereits Anfang August hatte der Sicherheitsforscher Orange Tsai im Rahmen der BlackHat 2021 Hackerkonferenz auf die Schwachstellen hingewiesen bzw. die Angriffsszenarien vorgestellt. Kurze Zeit darauf wurden auch die ersten Scans im Internet nach verwundbaren Exchange Servern dokumentiert. Durch eine Kombination von drei Schwachstellen sind ProxyShell-Exploits per Remote-Angriffe auf die Systeme möglich. Das gilt nur für Server die ungepatcht sind, denn Microsoft hat bereits Updates und Patches zur Verfügung gestellt. Die beschriebenen Schwachstellen lauten: CVE-2021-34473 (als “kritisch” eingestuft), CVE-2021-34523 (ebenfalls “kritisch”) und CVE-2021-31207 (“mittel”).

Über die Suchmaschine Shodan lassen sich ca. 240.000 Exchange Server aus dem Internet ermitteln. Ca. 46.000 davon sollen angreifbar sein. In Deutschland sollen es ca. 7800 Exchange Server sein welche per ProxyShell-Exploit verwunbar sind.

Advertisement

Fast 2000 infizierte Server in 48 Stunden

Auch Sicherheitsforscher von HuntressLabs verfolgen die Angriffe und schlagen Alarm. In ihrem Blog führen fünf verschieden Arten von WebShells vor, welche über die ProxyShell-Angriffsszenarien eingesetzt werden können. Über WebShells verschaffen sich die Cyberkriminellen erhöhte Rechte am System und damit eine Hintertür zu weiteren Aktivitäten.

Advertisement

In nur 48 Stunden wurden weltweit über 1900 Exchange Server infiziert. Betroffen sind dabei alle gängigen Versionen des Microsoft Exchange Servers (2013,2016 und 2019). Zahlreiche Unternehmen sind bereits betroffen darunter sind laut Informationen der Sicherheitsexperten auch Unternehmen aus der Verarbeitungsindustrie für Meeresfrüchte, Industriemaschinen, Autowerkstätten und weitere Firmen.

Patches seit April 2021

Die Patches für die Schwachstellen hat Microsoft bereits im April 2021 veröffentlicht. Microsoft wusste also bereits vor der Vorstellung der Schwachstellen auf der Hackerkonferenz von den Problemen. Seit Wochen werden Administratoren aufgefordert ihre Exchange Server zu patchen. Wer bisher noch nicht gepatcht hat, könnte bereits mit einer WebShell als Backdoor infiziert sein. Die Patches entfernen diese aber nicht. Wie Sie Infektionen finden hat Heise.de bereits ausführlich beschrieben.

Bewerten Sie diesen Beitrag:
[Gesamt: 3 Durchschnitt: 4.7]
Advertisement

Share:

Facebook
Twitter
LinkedIn
Telegram
WhatsApp
Email
Print

Das könnte Sie auch interessieren:

Microsoft Defender macht es leicht
Bedrohung

Microsoft Defender macht es leicht

Microsoft Defender macht es leicht – Der Virenschutz von Microsoft erleichtert das Einnisten von Schädlingen. Durch eine kleine Schwachstelle bei Zugriffsrechten des Microsoft Defender können

Weiterlesen »
iKomm News

Guten Rutsch ins neue Jahr

Wir wünschen allen Kunden und Besuchern der iKomm GmbH einen guten Rutsch ins neue Jahr 2022. Kommen Sie gut rüber und bleiben Sie gesund. Auf

Weiterlesen »