ProxyNotShell-Schwachstelle jetzt patchen: Noch immer viele verwundbare Exchange-Server in Deutschland
von Tina Siering
Über die als ProxyNotShell bezeichneten Microsoft Exchange Sicherheitslücken CVE-2022-41082 und CVE-2022-41040, hatten wir erstmals im September 2022 berichtet und unseren Beitrag in Nachhinein sukzessive um Updates aktualisiert. Die Thematik sorgte über mehrere Wochen für Schlagzeilen, nicht zuletzt weil Microsoft gut vier Wochen bis zur ersten Veröffentlichung von Sicherheitspatches benötigte. Admins mussten die bis dato gefährliche Übergangszeit mit Workarounds zur Absicherung überbrücken.
Beide Schwachstellen waren bereits initial als äußerst kritisch eingestuft, in der Folge kam es zu erheblichen Attacken auf die betroffenen Server (MS Exchange Server 2019, 2016 und 2013). Ein erneuter Höhepunkt in der Verwundbarkeit wurde Ende Dezember 2022 bekannt: Angreifer nutzten einen neuen Exploit aktiv aus, um mit Hilfe des Erpressungstrojaners “Play” Systeme zu kompromittieren (CVE-2022-41080). Dabei kombinierte man eine neue Sicherheitslücke mit einer bereits bekannten Schwachstelle.
Trotz dieser nochmaligen Verschärfung der Gefahrenlage ist mittlerweile bekannt, dass weltweit mehr als 60.000 online zugängliche Microsoft Exchange-Server weiter nicht gegen die bekannten Sicherheitslücken gepatcht wurden – rund 10.000 davon allein in Deutschland. Herausgefunden haben dies Sicherheitsforscher der Shadowserver Foundation und auf Twitter veröffentlicht.
Wir empfehlen IT-Sicherheitsverantwortliche, das von Microsoft bereitgestellte Sicherheitsupdate unbedingt jetzt einzuspielen, um die etwaige Sicherheitslücken dauerhaft zu schließen.