{"id":219456,"date":"2019-06-19T00:57:00","date_gmt":"2019-06-18T22:57:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=219456"},"modified":"2023-02-20T08:15:59","modified_gmt":"2023-02-20T07:15:59","slug":"microsoft-warnt-vor-wurmangriffen-auf-exim-server-auf-azure","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2019\/06\/19\/microsoft-warnt-vor-wurmangriffen-auf-exim-server-auf-azure\/","title":{"rendered":"Microsoft warnt vor Wurmangriffen auf Exim-Server auf Azure"},"content":{"rendered":"

[English<\/a>]Die Firma warnt Kunden vor Wurmangriffen auf Exim-Server, die auf Microsoft Azure gehostet sind. Hintergrund sind Schwachstellen, die k\u00fcrzlich in Exim-Servern entdeckt wurden.<\/p>\n

<\/p>\n

Der Hintergrund zur Exim-Server-Warnung<\/h2>\n

\"\"Der Open-Source-Exim-Mailserver ist in bestimmten Versionen anf\u00e4llig f\u00fcr eine k\u00fcrzlich entdeckte Schwachstelle. Dieser erm\u00f6glicht es in einigen F\u00e4llen nicht authentifizierten Angreifern Befehle mit Root-Rechten auszuf\u00fchren. Die Schwachstelle CVE-2019-10149<\/a> wurde im April 2016 \u00f6ffentlich und betrifft die in Exim Versionen 4.87 bis 4.91.<\/p>\n

Die Schwachstelle ist f\u00fcr lokale Benutzer mit einem niedrigprivilegierten Konto auf einem anf\u00e4lligen System, das mit Standardeinstellungen ausgef\u00fchrt wird, trivial ausnutzbar. Alles, was erforderlich ist, ist, dass die Person eine E-Mail an \"${run{\u2026}}@localhost\" sendet, wobei \"localhost\" eine bestehende lokale Dom\u00e4ne auf einer verwundbaren Exim-Installation ist. Damit k\u00f6nnen Angreifer Befehle ihrer Wahl mit Root-Rechten ausf\u00fchren. Der Fehler bei der Befehlsausf\u00fchrung ist auch remote per Internet ausnutzbar, wenn auch mit einigen Einschr\u00e4nkungen. Details hatte ich im Blog-Beitrag Schwachstelle in Exim-Mail-Server bedroht Millionen Nutzer<\/a> ver\u00f6ffentlicht.<\/p>\n

Letzte Woche entdeckte Amit Serper von CyberReason einen aktiven Wurm<\/a>, der diese Schwachstelle nutzt, um Linux-Server zu infizieren, auf denen Exim mit Kryptow\u00e4hrungsminern l\u00e4uft. Der Wurm verwendet den infizierten Server, um nach anderen anf\u00e4lligen Hosts zu suchen, die infiziert werden sollen.<\/p>\n

Microsoft warnt vor diesem Wurm<\/h2>\n

In einem Blog-Beitrag<\/a> vom 14. Juni 2019 wart das Microsoft Security Response Team (MSRT) vor der Schwachstelle.<\/p>\n

This week, MSRC confirmed the presence of an active Linux worm leveraging a critical Remote Code Execution (RCE) vulnerability, CVE-2019-10149<\/a>, in Linux Exim email servers running Exim version 4.87 to 4.91.\u202fAzure customers running VMs with Exim 4.92 are not affected by this vulnerability.<\/em><\/strong><\/p><\/blockquote>\n

Azure verf\u00fcgt \u00fcber Kontrollen, um die Ausbreitung dieses Wurms begrenzen. Dabei werden Techniken zur Bek\u00e4mpfung von SPAM eingesetzt. Aber Kunden, die die anf\u00e4llige Exim-Software verwenden, w\u00e4ren immer noch anf\u00e4llig f\u00fcr Infektionen. Nur Exim-Server mit der Version 4.92 sind vor der Schwachstelle gesch\u00fctzt.<\/p>\n

Kunden, die unter Azure virtuelle Maschinen (VMs) verwenden, sind f\u00fcr die Aktualisierung der Betriebssysteme und der darauf Software verantwortlich, die auf ihren VMs laufen. Da diese Schwachstelle durch Wurmaktivit\u00e4ten aktiv ausgenutzt wird, fordert MSRC die Kunden auf, die Best Practices und Muster von Azure Security zu beachten und den Netzwerkzugriff auf VMs, auf denen die betroffenen Versionen von Exim laufen, zu patchen oder einzuschr\u00e4nken.<\/p>\n

Weitere Details, was man tun kann, sind im Blog-Beitrag<\/a> von Microsoft nachzulesen. Zudem hat Bleeping Computer hier einen Beitrag<\/a> zum Thema ver\u00f6ffentlicht.<\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Die Firma warnt Kunden vor Wurmangriffen auf Exim-Server, die auf Microsoft Azure gehostet sind. Hintergrund sind Schwachstellen, die k\u00fcrzlich in Exim-Servern entdeckt wurden.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4375,4328],"class_list":["post-219456","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-azure","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/219456","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=219456"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/219456\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=219456"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=219456"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=219456"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}