Achtung! Angreifer suchen aktiv nach neuer Lücke im Exchange Server!

Admins sollten ihre Exchange Server zügig aktualisieren. Nachdem Forscher einen neuen Angriff vorgestellt haben, probieren Angreifer ihn offenbar gezielt aus.

Microsoft Exchange Server ist ein beliebtes Angriffsziel für IT-Kriminelle. Der Mailserver ist weit verbreitet in Unternehmen und Behörden und immer wieder Einfallstor in deren Netze. In der vergangenen Woche stellte der Sicherheitsforscher Orange Tsai auf der Konferenz Black Hat 2021 neue Angriffe auf die Software vor. Nur wenige Tage später wird offenbar gezielt nach der Lücke gesucht, wie Betreiber von Honeypots beschreiben. Admins sollten die Server umgehend mit allen bereitstehenden Updates versorgen. Einige Updates sind schon vor Monaten erschienen und schließen die Lücken.

Mehrere Probleme musste Orange Tsai kombinieren, wie er in seinem Vortrag beschreibt, um als unauthentifizierter Nutzer von außen Zugriff zu bekommen und sich mit mehr Rechten auszustatten. Die Schwachstelle lag im Client Access Service (CAS) von Exchange. Der wickelt eingehenden Verkehr für verschiedene Protokolle ab. Das offene Tor war die Autodiscover-Funktion. Über die Autodiscover-Datei rufen Mail-Clients bei der Einrichtung Details zum Server ab und ersparen dem Nutzer so, Serveradresse, Port und weitere Details abzutippen.

Gleich drei CVE-Nummern gab es für die Probleme, die unter dem Namen ProxyShell in die Geschichte eingehen (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207). Repariert wurden sie von Microsoft im April und Mai mit KB5001779 und KB5003435. Die ersten beiden Lücken hat Microsoft schon gepatcht, bevor Tsai sie gemeldet hat. Microsoft muss also auch auf anderem Weg davon erfahren haben. Wer seitdem seine Server, die am Internet hängen, seitdem nicht gepatcht hat, muss das zügig nachholen.

Bitte leiten sie die Email gerne an die IT Abteilung weiter…………