Wichtiges Update Exchange Hack: Angreifer nutzen jetzt aktiv ProxyShell Sicherheitslücke aus!
von Svenja Koch
Im März gab Microsoft bekannt, dass es vier Sicherheitslücken im Exchange Server gibt, die aktiv ausgenutzt werden. Die Kombination dieser Lücken macht die laufende Angriffswelle deshalb so gefährlich, da sie Vollzugriff auf den betroffenen Exchange Server gewährt. Das BSI hatte den Exchange Hack für Unternehmen als „IT-Bedrohungslage: 4 / Rot“ eingestuft. Nun verbreitet sich eine neue Angriffswelle, nachdem der Sicherheitsforscher Orange Tsai auf der Konferenz Black Hat 2021 schon Anfang August neue Angriffe auf die Software vorgestellt hatte.
Unternehmen sollten die Server umgehend mit allen bereitstehenden Updates versorgen, wenn dies noch nicht geschehen ist. Die Updates sind bereits vor Monaten erschienen und schließen die Lücken.
ProxyShell ist der Name eines Angriffs, der drei verkettete Microsoft Exchange-Sicherheitslücken nutzt, um nicht authentifizierte Remotecodeausführung durchzuführen. Gleich drei CVE-Nummern werden unter dem Namen ProxyShell in die Geschichte eingehen:
- CVE-2021-34473
- CVE-2021-34523
- CVE-2021-31207
Repariert wurden sie von Microsoft im April und Mai mit KB5001779 und KB5003435.
Für diejenigen, die ihren Microsoft Exchange-Server in letzter Zeit nicht aktualisiert haben, wird dringend empfohlen, dies sofort zu tun.
Ebenfalls wichtig zu wissen: Microsoft PrintNightmare Sicherheitsupdates nur zum Teil verfügbar!
Mehrere Drucker-Schwachstellen bedrohen seit einiger Zeit Windows. Auch an diesen setzen Angreifer nun erneut an und infizieren Systeme mit Schadcode - es besteht auch hier dringender Handlungsbedarf für Administratoren!
Im Juni enthüllte ein Sicherheitsforscher eine Zero-Day-Windows Druckspooler-Schwachstelle namens PrintNightmare (CVE-2021-34527). Diese findet sich in der Drucker-Implementierung von allen Windows- und Windows-Server-Versionen. Wenn diese Sicherheitsanfälligkeit ausgenutzt wurde, ermöglichte sie Remotecodeausführung und die Möglichkeit, lokale SYSTEM-Berechtigungen zu erlangen. Davon sind auch Domain-Controller betroffen, so dass die Gefahr besteht, dass ganze Netzwerke kompromittiert werden. Problematisch ist hier die Tatsache, dass es für eine jüngst entdeckte Schwachstelle (CVE-2021-36958, „hoch“) in der Druckerverwaltung bislang keinen Patch gibt. Admins müssen Systeme beispielsweise über die Deaktivierung des Print-Spooler-Service schützen. Das zieht aber nach sich, dass man nicht mehr lokal oder über das Netzwerk drucken kann.
Auch hier lautet die dringende Empfehlung: Patchen!
In welchem Umfang die Attacken stattfinden, ist laut Heise online nicht bekannt. Nichtsdestotrotz sollten Admins über Windows Update sicherstellen, dass ihre Systeme auf dem aktuellen Stand sind und alle derzeit verfügbaren PrintNightmare-Patches (CVE-2021-1675 „hoch“, CVE-2021-34527 „hoch“) installiert sind.
Wann Microsoft die derzeit noch ungepatchte Lücke (CVE-2021-36958) schließt, ist zum jetzigen Zeitpunkt nicht bekannt. In der Warnmeldung zur Schwachstelle erwähnt Microsoft lediglich den monatlich stattfindenden Patchday, für den der nächste Termin erst wieder im September angesetzt ist.
Jetzt die Ausbreitung der Exchange Schadsoftware in Ihrem Netzwerk nachverfolgen und C2-Kommunikation erkennen!
Unsere Experten beraten Sie gerne zu unserem Active Cyber Defense Service - kontaktieren Sie uns!
Zum Thema passende Artikel
Der Umgang mit digitalen Bildern, Dokumenten und Dateien gehört für viele zum Alltag dazu. Häufig teilen auch Mitarbeiter Daten mit unternehmensfremden Personen oder verschicken digitale Dokumente über das Internet. Was viele nicht bedenken: Es werden bestimmte zusätzliche sensible Informationen dabei preisgegeben - meist ungewollt.. Viele Nutzer sind sich der Existenz und der Reichweite dieser Informationen außerdem gar nicht bewusst. Da digitale Systeme jedoch immer tiefer in unser Leben eindringen, ist es wichtig, um die potenziellen Gefahrenquellen zu wissen und den Metadaten-Schutz aktiv voranzutreiben.
Weiterlesen … Unterschätztes Sicherheitsrisiko: Wie schützen Sie eigentlich Ihre Metadaten?
Cybersicherheitsvorfälle gehören inzwischen zu einer Alltagsbedrohung. Nicht immer handelt es sich dabei um Advanced Persistent Threats, also zielgerichtete Angriffe auf kritische Bereiche der Infrastruktur. Auch hat die IT Security von Unternehmen viele Cyberbedrohungen, die täglich auftreten, gut im Griff. Gleichzeitig sorgt dies in vielen Fällen für ein falsches Gefühl von Sicherheit: Viele Unternehmen bewerten ihre eigene IT Security als exzellent. Tatsächlich ist die IT-Sicherheit bei vielen Unternehmen ausbaufähig, das hat Marktforschungsinstitut IDC für seine Studie „Cybersecurity in Deutschland 2021" herausgefunden.