Proxyshell: Aktive Angriffe auf verwundbare Exchange-Server

Patches stehen zwar längst bereit, doch verwundbare Exchange-Server werden derzeit massiv angegriffen. Auch eine neue Ransomwaregruppe ist dabei.

Artikel veröffentlicht am , Anna Biselli
Wer Microsoft Exchange Server nutzt, sollte immer auf dem aktuellen Stand sein.
Wer Microsoft Exchange Server nutzt, sollte immer auf dem aktuellen Stand sein. (Bild: efes/pixabay.com)

Mit drei bekannten, verketteten Schwachstellen bei Microsoft Exchange verschaffen sich Angreifer die Möglichkeit, aus der Ferne Code auf betroffenen Systemen aufzuführen. Auch wenn bereits seit Mai Patches für die Sicherheitslücken bereitstehen, sind viele Systeme noch nicht aktualisiert und weiterhin verwundbar. Derzeit nutzen Angreifer diese Lücken offenbar aktiv aus.

Stellenmarkt
  1. Information Security Officer (m/w/d) Planung, Steuerung von Cyber Security-Aktivitäten
    Hannover Rück SE, Hannover
  2. Product Owner Online-Dienste (w/m/d)
    Dataport, verschiedene Standorte
Detailsuche

Die Schwachstellenverkettung wurde Proxyshell genannt, sie nutzt die Lücken CVE-2021-34473, CVE-2021-34523 und CVE-2021-31207. Sicherheitsforscher von Huntress berichten, dass sie am Freitag bei rund 1.900 verwundbaren Servern binnen zwei Tagen mehr als 140 kompromittierte Systeme entdeckt hätten. Zuerst demonstriert hatten den Angriff im April Orange Tsai und sein Team. Auf der Black-Hat-Konferenz im August beschrieb Tsai den detaillierten Ablauf. Danach begannen Angreifer, ungepatchte Exchange-Server zu suchen und anzugreifen.

Eine neue Ransomware-Gruppe nutzt die Lücken aus

In der aktuellen Angriffswelle ist offenbar eine neue Ransomware-Gruppe namens Lockfile aktiv: Sie sucht nach verwundbaren Servern, um über einen weiteren bekannten NTLM-Relay-Angriff ganze Domänen zu übernehmen und Rechner zu verschlüsseln. Das beobachteten IT-Sicherheitsforscher von Symantec und berichten von Betroffenen im Bereich von etwa Finanzdienstleistern und Fabriken.

Das Bundes-Cert warnte am Wochenende davor, dass die Schwachstellen derzeit massiv ausgenutzt würden und rief dazu auf, den Patch-Status von Exchange-Servern zu prüfen und gegebenenfalls zu aktualisieren.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe
Golem Karrierewelt
  1. Cloud Competence Center: Strategien, Roadmap, Governance: virtueller Ein-Tages-Workshop
    06.10.2022, Virtuell
  2. Deep-Dive Kubernetes – Production Grade Deployments: virtueller Ein-Tages-Workshop
    08.11.2022, Virtuell
Weitere IT-Trainings

Microsoft Exchange Server sind ein beliebtes Angriffsziel. Immer wieder werden Schwachstellen bekannt, die beispielsweise eine Rechteausweitung ermöglichen. Anfang des Jahres sollen über zuvor unbekannte Schwachstellen allein in den USA 30.000 Firmen und Regierungseinrichtungen gehackt worden sein.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Streit mit Magnus Carlsen
Schachgroßmeister Niemann soll über 100 Mal betrogen haben

Schachweltmeister Magnus Carlsen wirft dem Großmeister Hans Niemann Betrug vor - eine neue Untersuchung stärkt die Vorwürfe.

Streit mit Magnus Carlsen: Schachgroßmeister Niemann soll über 100 Mal betrogen haben
Artikel
  1. Airpods Pro 2 im Test: Apple schaltet Lärm und Konkurrenz aus
    Airpods Pro 2 im Test
    Apple schaltet Lärm und Konkurrenz aus

    Mit sinnvollen Änderungen sind die Airpods Pro 2 das Beste, was es derzeit an ANC-Hörstöpseln gibt. Aber Apples kundenfeindliche Borniertheit nervt.
    Ein Test von Ingo Pakalski

  2. Vodafone und Telekom: Zwei Netzbetreiber melden Datenrekord auf Oktoberfest
    Vodafone und Telekom
    Zwei Netzbetreiber melden Datenrekord auf Oktoberfest

    Die Telekom liegt beim Datenvolumen klar vor Vodafone. Es gab in diesem Jahr besonders viel Roaming durch ausländische Netze.

  3. Dr. Mike Eissele: Es kann immer wieder technologische Revolutionen geben
    Dr. Mike Eissele
    "Es kann immer wieder technologische Revolutionen geben"

    Chefs von Devs Teamviewer-CTO Dr. Mike Eissele gibt einen tiefen Einblick, wie man sich auf eine Arbeitswelt ohne Bildschirme vorbereitet.
    Ein Interview von Daniel Ziegener

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Günstig wie nie: Inno3D RTX 3090 Ti 1.199€, MSI B550 Mainboard 118,10€, LG OLED 48" 799€, Samsung QLED TVs 2022 (u. a. 65" 899€, 55" 657€) • Alternate (Acer Gaming-Monitore) • MindStar (G-Skill DDR4-3600 16GB 88€, Intel Core i5 2.90 Ghz 99€) • 3 Spiele für 49€ [Werbung]
    •  /