Über 350.000 Exchange-Server anfällig für Angriffe

Nach Untersuchungen des Sicherheitsanbieters Rapid7 sind noch über 350.000 Exhcange-Server anfällig für die Sicherheitslücke CVE-2020-0688, vor der selbst die NSA gewarnt hat. Und das obwohl Microsoft die RCE-Sicherheitslücke im Rahmen des regulären monatlichen Updates im Februar bereits geschlossen hatte. Entdeckt wurde die Schwachstelle von Trend Micros Zero Day Initiative (ZDI).

Die Schwachstelle wird Analysen zufolge aktiv ausgenutzt. Die Sicherheitsfirma Volexity registriert seit Ende Februar entsprechende Aktivitäten. Eine Quelle des US-Verteidigungsministeriums (DoD) bestätigte auf Anfrage von ZDNet USA die laufenden Angriffe, ohne die dahinterstehendenen Akteure zu nennen.

Nach Untersuchungen von Rapid7 sind 82,5 Prozent (357.629) der 433.464 überprüften Exchange-Server noch anfällig für CVE-2020-0688. Laut Tom Sellers von Rapid7 ermöglicht die Schwchstelle Angreifern, „die gesamte Exchange-Umgebung (einschließlich aller E-Mails) und möglicherweise das gesamte Active Directory vollständig zu gefährden“, je nachdem, wie der Server implementiert wurde.

Angesichts des hohen Wertes von Exchange-Umgebungen befürchten Sicherheitsexperten, dass die Schwachstelle zu einem Favoriten für Ransomware-Angreifer und zu einem lukrativen Ziel für APT-Angreifer werden könnte, die damit E-Mails eines Unternehmens lesen können.

„Das Update für CVE-2020-0688 muss auf jedem Server mit aktiviertem Exchange Control Panel (ECP) installiert werden. Dies sind in der Regel Server mit der Client Access Server (CAS)-Rolle, über die Ihre Benutzer auf die Outlook-Webanwendung (OWA) zugreifen würden“, erklärt Sellers.

Er riet den Admins außerdem, festzustellen, ob Angreifer versucht haben, die Exchange-Schwachstelle auszunutzen. Da Angreifer mindestens einen gültigen Berechtigungsnachweis für ein E-Mail-Konto auf dem Exchange-Server benötigen, weist Sellers darauf hin, dass jedes Konto, das mit dem Ausnutzungsversuch verbunden ist, als kompromittiertes Konto behandelt werden sollte.

Forscher bei Kenna Security haben zwei Analysen der Patching-Raten für den Exchange-Bug durchgeführt. Die erste Analyse ergab, dass nur 15 Prozent der anfälligen Exchange-Server gepatcht wurden. Eine zweite Analyse, bei der 22.000 internetseitige Outlook Web Access (OWA)-Server gescannt wurden, ergab, dass 74 Prozent anfällig und 26 Prozent potentiell gefährdet sind.

„Lassen Sie alles stehen und liegen und patchen Sie diese Sicherheitslücke sofort“

„Lassen Sie alles stehen und liegen und patchen Sie diese Sicherheitslücke sofort. Derzeit stellt diese Schwachstelle ein größeres Risiko dar als die meisten anderen Schwachstellen in der Unternehmensumgebung“, schrieb Jonathan Cran, Forschungsleiter bei Kenna Security.

„Wenn das Patchen einfach nicht möglich ist, blockieren Sie den Zugriff auf ECP. Letztendlich sprechen solche Schwachstellen für ein Upgrade auf Office 365“.

Der Scan von Rapid7 identifizierte auch über 31.000 Exchange 2010-Server, die seit 2012 nicht mehr gepatcht wurden, sowie fast 800 Exchange 2010-Server, die nie aktualisiert wurden. Es wurde auch eine hohe Anzahl von Exchange 2007-Servern gefunden, die seit April 2017 nicht mehr unterstützt werden, sowie über 166.000 Exchange 2010-Server, die mit dem Internet verbunden sind und am 13. Oktober das Ende der Unterstützung erreichen. „Das ist eine erschreckende Anzahl von Mailsystemen der Unternehmensklasse, die in einigen Monaten nicht mehr unterstützt werden“, so Sellers.