[English]Die Firma warnt Kunden vor Wurmangriffen auf Exim-Server, die auf Microsoft Azure gehostet sind. Hintergrund sind Schwachstellen, die kürzlich in Exim-Servern entdeckt wurden.
Anzeige
Der Hintergrund zur Exim-Server-Warnung
Der Open-Source-Exim-Mailserver ist in bestimmten Versionen anfällig für eine kürzlich entdeckte Schwachstelle. Dieser ermöglicht es in einigen Fällen nicht authentifizierten Angreifern Befehle mit Root-Rechten auszuführen. Die Schwachstelle CVE-2019-10149 wurde im April 2016 öffentlich und betrifft die in Exim Versionen 4.87 bis 4.91.
Die Schwachstelle ist für lokale Benutzer mit einem niedrigprivilegierten Konto auf einem anfälligen System, das mit Standardeinstellungen ausgeführt wird, trivial ausnutzbar. Alles, was erforderlich ist, ist, dass die Person eine E-Mail an "${run{…}}@localhost" sendet, wobei "localhost" eine bestehende lokale Domäne auf einer verwundbaren Exim-Installation ist. Damit können Angreifer Befehle ihrer Wahl mit Root-Rechten ausführen. Der Fehler bei der Befehlsausführung ist auch remote per Internet ausnutzbar, wenn auch mit einigen Einschränkungen. Details hatte ich im Blog-Beitrag Schwachstelle in Exim-Mail-Server bedroht Millionen Nutzer veröffentlicht.
Letzte Woche entdeckte Amit Serper von CyberReason einen aktiven Wurm, der diese Schwachstelle nutzt, um Linux-Server zu infizieren, auf denen Exim mit Kryptowährungsminern läuft. Der Wurm verwendet den infizierten Server, um nach anderen anfälligen Hosts zu suchen, die infiziert werden sollen.
Microsoft warnt vor diesem Wurm
In einem Blog-Beitrag vom 14. Juni 2019 wart das Microsoft Security Response Team (MSRT) vor der Schwachstelle.
Anzeige
This week, MSRC confirmed the presence of an active Linux worm leveraging a critical Remote Code Execution (RCE) vulnerability, CVE-2019-10149, in Linux Exim email servers running Exim version 4.87 to 4.91. Azure customers running VMs with Exim 4.92 are not affected by this vulnerability.
Azure verfügt über Kontrollen, um die Ausbreitung dieses Wurms begrenzen. Dabei werden Techniken zur Bekämpfung von SPAM eingesetzt. Aber Kunden, die die anfällige Exim-Software verwenden, wären immer noch anfällig für Infektionen. Nur Exim-Server mit der Version 4.92 sind vor der Schwachstelle geschützt.
Kunden, die unter Azure virtuelle Maschinen (VMs) verwenden, sind für die Aktualisierung der Betriebssysteme und der darauf Software verantwortlich, die auf ihren VMs laufen. Da diese Schwachstelle durch Wurmaktivitäten aktiv ausgenutzt wird, fordert MSRC die Kunden auf, die Best Practices und Muster von Azure Security zu beachten und den Netzwerkzugriff auf VMs, auf denen die betroffenen Versionen von Exim laufen, zu patchen oder einzuschränken.
Weitere Details, was man tun kann, sind im Blog-Beitrag von Microsoft nachzulesen. Zudem hat Bleeping Computer hier einen Beitrag zum Thema veröffentlicht.
Anzeige