Über 350.000 Exchange-Server anfällig für Angriffe

Obwohl Microsoft bereits im Februar einen Patch für die Lücke CVE-2020-0688 veröffentlicht hatte, sind aktuell noch über 350.000 Exchange-Server anfällig für die von Cyberkrminellen aktiv ausgenutzte Schwachstelle.

Nach Untersuchungen des Sicherheitsanbieters Rapid7 sind noch über 350.000 Exhcange-Server anfällig für die Sicherheitslücke CVE-2020-0688, vor der selbst die NSA gewarnt hat. Und das obwohl Microsoft die RCE-Sicherheitslücke im Rahmen des regulären monatlichen Updates im Februar bereits geschlossen hatte. Entdeckt wurde die Schwachstelle von Trend Micros Zero Day Initiative (ZDI).

Die Schwachstelle wird Analysen zufolge aktiv ausgenutzt. Die Sicherheitsfirma Volexity registriert seit Ende Februar entsprechende Aktivitäten. Eine Quelle des US-Verteidigungsministeriums (DoD) bestätigte auf Anfrage von ZDNet USA die laufenden Angriffe, ohne die dahinterstehendenen Akteure zu nennen.

Nach Untersuchungen von Rapid7 sind 82,5 Prozent (357.629) der 433.464 überprüften Exchange-Server noch anfällig für CVE-2020-0688. Laut Tom Sellers von Rapid7 ermöglicht die Schwchstelle Angreifern, „die gesamte Exchange-Umgebung (einschließlich aller E-Mails) und möglicherweise das gesamte Active Directory vollständig zu gefährden“, je nachdem, wie der Server implementiert wurde.

Angesichts des hohen Wertes von Exchange-Umgebungen befürchten Sicherheitsexperten, dass die Schwachstelle zu einem Favoriten für Ransomware-Angreifer und zu einem lukrativen Ziel für APT-Angreifer werden könnte, die damit E-Mails eines Unternehmens lesen können.

„Das Update für CVE-2020-0688 muss auf jedem Server mit aktiviertem Exchange Control Panel (ECP) installiert werden. Dies sind in der Regel Server mit der Client Access Server (CAS)-Rolle, über die Ihre Benutzer auf die Outlook-Webanwendung (OWA) zugreifen würden“, erklärt Sellers.

Er riet den Admins außerdem, festzustellen, ob Angreifer versucht haben, die Exchange-Schwachstelle auszunutzen. Da Angreifer mindestens einen gültigen Berechtigungsnachweis für ein E-Mail-Konto auf dem Exchange-Server benötigen, weist Sellers darauf hin, dass jedes Konto, das mit dem Ausnutzungsversuch verbunden ist, als kompromittiertes Konto behandelt werden sollte.

Forscher bei Kenna Security haben zwei Analysen der Patching-Raten für den Exchange-Bug durchgeführt. Die erste Analyse ergab, dass nur 15 Prozent der anfälligen Exchange-Server gepatcht wurden. Eine zweite Analyse, bei der 22.000 internetseitige Outlook Web Access (OWA)-Server gescannt wurden, ergab, dass 74 Prozent anfällig und 26 Prozent potentiell gefährdet sind.

„Lassen Sie alles stehen und liegen und patchen Sie diese Sicherheitslücke sofort“

„Lassen Sie alles stehen und liegen und patchen Sie diese Sicherheitslücke sofort. Derzeit stellt diese Schwachstelle ein größeres Risiko dar als die meisten anderen Schwachstellen in der Unternehmensumgebung“, schrieb Jonathan Cran, Forschungsleiter bei Kenna Security.

„Wenn das Patchen einfach nicht möglich ist, blockieren Sie den Zugriff auf ECP. Letztendlich sprechen solche Schwachstellen für ein Upgrade auf Office 365“.

Der Scan von Rapid7 identifizierte auch über 31.000 Exchange 2010-Server, die seit 2012 nicht mehr gepatcht wurden, sowie fast 800 Exchange 2010-Server, die nie aktualisiert wurden. Es wurde auch eine hohe Anzahl von Exchange 2007-Servern gefunden, die seit April 2017 nicht mehr unterstützt werden, sowie über 166.000 Exchange 2010-Server, die mit dem Internet verbunden sind und am 13. Oktober das Ende der Unterstützung erreichen. „Das ist eine erschreckende Anzahl von Mailsystemen der Unternehmensklasse, die in einigen Monaten nicht mehr unterstützt werden“, so Sellers.

ANZEIGE

Auf zu neuen Höhen mit SkySQL, der ultimativen MariaDB Cloud

In diesem Webinar stellen wir Ihnen SkySQL vor, erläutern die Architektur und gehen auf die Unterschiede zu anderen Systemen wie Amazon RDS ein. Darüber hinaus erhalten Sie einen Einblick in die Produkt-Roadmap, eine Live-Demo und erfahren, wie Sie SkySQL innerhalb von nur wenigen Minuten in Betrieb nehmen können.

Themenseiten: Exchange, Microsoft

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Über 350.000 Exchange-Server anfällig für Angriffe

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *