Proxyshell: Aktive Angriffe auf verwundbare Exchange-Server

Patches stehen zwar längst bereit, doch verwundbare Exchange-Server werden derzeit massiv angegriffen. Auch eine neue Ransomwaregruppe ist dabei.

Artikel veröffentlicht am , Anna Biselli
Wer Microsoft Exchange Server nutzt, sollte immer auf dem aktuellen Stand sein.
Wer Microsoft Exchange Server nutzt, sollte immer auf dem aktuellen Stand sein. (Bild: efes/pixabay.com)

Mit drei bekannten, verketteten Schwachstellen bei Microsoft Exchange verschaffen sich Angreifer die Möglichkeit, aus der Ferne Code auf betroffenen Systemen aufzuführen. Auch wenn bereits seit Mai Patches für die Sicherheitslücken bereitstehen, sind viele Systeme noch nicht aktualisiert und weiterhin verwundbar. Derzeit nutzen Angreifer diese Lücken offenbar aktiv aus.

Stellenmarkt
  1. Leiter*in (m/w/d) Klinische Systeme
    Universitätsmedizin der Johannes Gutenberg-Universität Mainz, Mainz
  2. Projektmanager (m/w/d) Schwerpunkt Digitalisierungsprojekte
    FES Frankfurter Entsorgungs- und Service GmbH, Frankfurt am Main
Detailsuche

Die Schwachstellenverkettung wurde Proxyshell genannt, sie nutzt die Lücken CVE-2021-34473, CVE-2021-34523 und CVE-2021-31207. Sicherheitsforscher von Huntress berichten, dass sie am Freitag bei rund 1.900 verwundbaren Servern binnen zwei Tagen mehr als 140 kompromittierte Systeme entdeckt hätten. Zuerst demonstriert hatten den Angriff im April Orange Tsai und sein Team. Auf der Black-Hat-Konferenz im August beschrieb Tsai den detaillierten Ablauf. Danach begannen Angreifer, ungepatchte Exchange-Server zu suchen und anzugreifen.

Eine neue Ransomware-Gruppe nutzt die Lücken aus

In der aktuellen Angriffswelle ist offenbar eine neue Ransomware-Gruppe namens Lockfile aktiv: Sie sucht nach verwundbaren Servern, um über einen weiteren bekannten NTLM-Relay-Angriff ganze Domänen zu übernehmen und Rechner zu verschlüsseln. Das beobachteten IT-Sicherheitsforscher von Symantec und berichten von Betroffenen im Bereich von etwa Finanzdienstleistern und Fabriken.

Das Bundes-Cert warnte am Wochenende davor, dass die Schwachstellen derzeit massiv ausgenutzt würden und rief dazu auf, den Patch-Status von Exchange-Servern zu prüfen und gegebenenfalls zu aktualisieren.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe
Golem Akademie
  1. Penetration Testing Fundamentals
    23.-24. September 2021, online
  2. Microsoft Teams effizient nutzen
    25. Oktober 2021, online
  3. Mobile Device Management mit Microsoft Intune
    22.-23. November 2021, online
Weitere IT-Trainings

Microsoft Exchange Server sind ein beliebtes Angriffsziel. Immer wieder werden Schwachstellen bekannt, die beispielsweise eine Rechteausweitung ermöglichen. Anfang des Jahres sollen über zuvor unbekannte Schwachstellen allein in den USA 30.000 Firmen und Regierungseinrichtungen gehackt worden sein.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Internet der Dinge
Temperaturmesser Marke Eigenbau

Sensordaten lassen sich kostengünstig per Lorawan versenden. Wir zeigen, wie sich ein Temperatursensor per TTN nutzen lässt.
Eine Anleitung von Dirk Koller

Internet der Dinge: Temperaturmesser Marke Eigenbau
Artikel
  1. Revil: FBI hat Ransomware-Entschlüsselung zurückgehalten
    Revil
    FBI hat Ransomware-Entschlüsselung zurückgehalten

    Eigentlich hätte das FBI von Ransomware betroffenen Unternehmen und Personen helfen können, entschied sich wohl aber dagegen.

  2. CMOS-Batterie: Firmware-Update hat PS4 offenbar vor ewigem Aus gerettet
    CMOS-Batterie
    Firmware-Update hat PS4 offenbar vor ewigem Aus gerettet

    Sony hat mit Firmware 9.0 für die Playstation 4 ein großes Problem gelöst: eine leere CMOS-Batterie kann die Konsole nicht mehr zerstören.

  3. Five9: US-Regierung prüft Zoom-Übernahme auf Sicherheitsrisikos
    Five9
    US-Regierung prüft Zoom-Übernahme auf Sicherheitsrisikos

    Die Übernahme von Five9 für fast 15 Milliarden US-Dollar durch Zoom wird wegen vermeintlichen nationalen Sicherheitsinteressen in den USA überprüft.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Black Week bei NBB: Bis 50% Rabatt (u. a. MSI 31,5" Curved WQHD 165Hz 350€) • Gran Turismo 7 25th Anniversary PS4/PS5 vorbestellbar 99,99€ • Samsung T7 Portable SSD 1TB 105,39€ • PS5 bei Amazon zu gewinnen • Astro Gaming A20 + Deathloop PS5 139,99€ [Werbung]
    •  /