Sicherheit

Microsoft Exchange: Angreifer scannen nach ProxyShell

Eine Reihe von Sicherheitslücken mit der Bezeichnung „ProxyShell“ sind derzeit das Ziel von Angreifern. Die Schwachstellen sind bereits seit April und Mai geschlossen. Betroffene Unternehmen müssen ihre Exchange-Server sofort patchen.

Rund um die jährlich in Las Vegas stattfindende Sicherheitskonferenz BlackHat veröffentlichen Sicherheitsforscher oftmals bisher unbekannte Sicherheitslücken – so auch in diesem Jahr: Drei Schwachstellen in Microsoft Exchange sorgen einmal mehr für Arbeit in Unternehmen, die einen Exchange-Server lokal betreiben. Die Bezeichnungen lauten:

CVE-2021-34473
CVE-2021-34523
CVE-2021-31207

„Bereits die Angriffe der Hafnium-Gruppe auf lokale Exchange-Server im März dieses Jahres führten zu einer extremen Anzahl von Sicherheitsvorfällen“, sagt Tim Berghoff, Security Evangelist bei G DATA CyberDefense. „Da Angreifer aktiv versuchen die Lücke auszunutzen, ist unverzügliches Handeln sehr wichtig. Die Patches sind bereits seit April beziehungsweise Mai verfügbar.“

Der auf den Namen „ProxyShell“ getaufte Angriff bedient sich dieser drei Sicherheitslücken, um Zugriff auf verwundbare Systeme zu erlangen. Potenziell sind zirka 400.000 Exchange-Server weltweit betroffen. In diesem Zusammenhang warnt das Forscherteam davor, Exchange-Server zum Internet hin zu exponieren. Exchange-Instanzen, die über Port 443 aus dem Internet erreichbar sind, haben ein erhöhtes Risiko, zum Ziel eines Angriffs zu werden.

Betroffen sind lokale Installationen von Microsoft Exchange 2013, 2016 und 2019.

Parallelen zu Hafnium-Angriffen

Wie bei den Exchange-Sicherheitslücken, die die Hafnium-Gruppe ausgenutzt hatte, haben Angreifer auch im Falle einer der „ProxyShell“-Sicherheitslücken damit begonnen, aktiv nach verwundbaren Systemen zu suchen. Es ist damit zu rechnen, dass diese Aktivitäten in den kommenden Tagen weiter zunehmen.

Angriff aus einer neuen Perspektive

Alle Sicherheitslücken sind bereits gepatcht – zwei davon bereits seit April (Patch KB5001779) und eine seit Mai (KB5002325). Es stand also ein Update bereit, bevor Microsoft erstmals im Juli von außen informiert wurde. Es spricht also einiges dafür, dass die Lücke intern bekannt war und „im Stillen“ gepatcht wurde. Nach Aussage des Sicherheitsforschers mit dem einprägsamen Handle Orange Tsai hat ProxyShell „bisher nie dagewesene Auswirkungen“, da die Erforschung der Angriffsmethode nicht wie üblich auf Speicherlecks oder Logikfehlern basiert, sondern auf „einem Ansatz, der sich auf die Architektur des Systems“ konzentriert.

Über die G DATA CyberDefense AG

Mit umfassenden Cyber-Defense-Dienstleistungen macht der deutsche Erfinder des AntiVirus Unternehmen verteidigungsfähig gegen Cybercrime. Mehr als 500 Mitarbeiter sorgen für die digitale Sicherheit von Unternehmen und Anwendern. "Made in Germany": Mit über 30 Jahren Expertise in Malwareanalyse betreibt G DATA Forschung und Softwareentwicklung ausschließlich in Deutschland. Höchste Ansprüche an den Datenschutz sind oberstes Gebot. Bereits 2011 hat G DATA mit dem Vertrauenssiegel "IT Security Made in Germany" des TeleTrust e.V. eine "No-Backdoor"-Garantie abgegeben.

G DATA bietet ein umfassendes Portfolio von AntiVirus und Endpoint Protection über Penetrationstests und Incident Response bis zu forensischen Analysen, Security-Status-Checks und Cyber-Awareness-Trainings, um Unternehmen wirksam zu verteidigen. Neue Technologien wie DeepRay schützen mit Künstlicher Intelligenz vor Malware.

Service und Support gehören zum mit Ökostrom betriebenen G DATA Campus in Bochum, wie das Trojan Horse Café und das Bistro.

G DATA Lösungen sind in 90 Ländern erhältlich und wurden vielfach ausgezeichnet, zuletzt mit einem Doppelsieg beim PUR-Award für Malware Protection und E-Mail-Security.

Firmenkontakt und Herausgeber der Meldung:

G DATA CyberDefense AG
Königsallee 178
44799 Bochum
Telefon: +49 (234) 9762-0
Telefax: +49 (234) 9762-299
http://www.gdata.de

Ansprechpartner:
Hauke Gierow
Pressesprecher
Telefon: +49 (234) 9762-665
E-Mail: hauke.gierow@gdata.de
Für die oben stehende Pressemitteilung ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.

counterpixel