Wichtiges Update Exchange Hack: Angreifer nutzen jetzt aktiv ProxyShell Sicherheitslücke aus!

von

Lesezeit: Minuten ( Wörter)

Im März gab Microsoft bekannt, dass es vier Sicherheitslücken im Exchange Server gibt, die aktiv ausgenutzt werden. Die Kombination dieser Lücken macht die laufende Angriffswelle deshalb so gefährlich, da sie Vollzugriff auf den betroffenen Exchange Server gewährt. Das BSI hatte den Exchange Hack für Unternehmen als „IT-Bedrohungslage: 4 / Rot“ eingestuft. Nun verbreitet sich eine neue Angriffswelle, nachdem der Sicherheitsforscher Orange Tsai auf der Konferenz Black Hat 2021 schon Anfang August neue Angriffe auf die Software vorgestellt hatte.

Unternehmen sollten die Server umgehend mit allen bereitstehenden Updates versorgen, wenn dies noch nicht geschehen ist. Die Updates sind bereits vor Monaten erschienen und schließen die Lücken.

ProxyShell ist der Name eines Angriffs, der drei verkettete Microsoft Exchange-Sicherheitslücken nutzt, um nicht authentifizierte Remotecodeausführung durchzuführen. Gleich drei CVE-Nummern werden unter dem Namen ProxyShell in die Geschichte eingehen:

  • CVE-2021-34473
  • CVE-2021-34523
  • CVE-2021-31207

Repariert wurden sie von Microsoft im April und Mai mit KB5001779 und KB5003435.

Für diejenigen, die ihren Microsoft Exchange-Server in letzter Zeit nicht aktualisiert haben, wird dringend empfohlen, dies sofort zu tun.

Ebenfalls wichtig zu wissen: Microsoft PrintNightmare Sicherheitsupdates nur zum Teil verfügbar!

Mehrere Drucker-Schwachstellen bedrohen seit einiger Zeit Windows. Auch an diesen setzen Angreifer nun erneut an und infizieren Systeme mit Schadcode - es besteht auch hier dringender Handlungsbedarf für Administratoren!

Im Juni enthüllte ein Sicherheitsforscher eine Zero-Day-Windows Druckspooler-Schwachstelle namens PrintNightmare (CVE-2021-34527). Diese findet sich in der Drucker-Implementierung von allen Windows- und Windows-Server-Versionen. Wenn diese Sicherheitsanfälligkeit ausgenutzt wurde, ermöglichte sie Remotecodeausführung und die Möglichkeit, lokale SYSTEM-Berechtigungen zu erlangen. Davon sind auch Domain-Controller betroffen, so dass die Gefahr besteht, dass ganze Netzwerke kompromittiert werden. Problematisch ist hier die Tatsache, dass es für eine jüngst entdeckte Schwachstelle (CVE-2021-36958, „hoch“) in der Druckerverwaltung bislang keinen Patch gibt. Admins müssen Systeme beispielsweise über die Deaktivierung des Print-Spooler-Service schützen. Das zieht aber nach sich, dass man nicht mehr lokal oder über das Netzwerk drucken kann.

Auch hier lautet die dringende Empfehlung: Patchen!

In welchem Umfang die Attacken stattfinden, ist laut Heise online nicht bekannt. Nichtsdestotrotz sollten Admins über Windows Update sicherstellen, dass ihre Systeme auf dem aktuellen Stand sind und alle derzeit verfügbaren PrintNightmare-Patches (CVE-2021-1675 „hoch“, CVE-2021-34527 „hoch“) installiert sind.

Wann Microsoft die derzeit noch ungepatchte Lücke (CVE-2021-36958) schließt, ist zum jetzigen Zeitpunkt nicht bekannt. In der Warnmeldung zur Schwachstelle erwähnt Microsoft lediglich den monatlich stattfindenden Patchday, für den der nächste Termin erst wieder im September angesetzt ist.

Jetzt die Ausbreitung der Exchange Schadsoftware in Ihrem Netzwerk nachverfolgen und C2-Kommunikation erkennen!

Unsere Experten beraten Sie gerne zu unserem Active Cyber Defense Service - kontaktieren Sie uns!

Durch Klicken auf die Schaltfläche "Absenden" bestätigen Sie, unsere Richtlinien zum Datenschutz gelesen zu haben. Sie geben Ihr Einverständnis zur Verwendung Ihrer personenbezogenen Daten zu dem von Ihnen angegebenen Zweck der Kontaktaufnahme durch die secion GmbH.

Zurück