{"id":256650,"date":"2021-08-13T11:50:26","date_gmt":"2021-08-13T09:50:26","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=256650"},"modified":"2021-08-13T12:25:26","modified_gmt":"2021-08-13T10:25:26","slug":"angriffe-auf-exchange-server-per-proxyshell-schwachstelle-rollen-an-13-8-2021","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/08\/13\/angriffe-auf-exchange-server-per-proxyshell-schwachstelle-rollen-an-13-8-2021\/","title":{"rendered":"Angriffe auf Exchange Server per ProxyShell-Schwachstelle rollen an (13.8.2021)"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Ich hole den Vorgang nochmals vor dem Wochenende hoch, auch wenn die Leserschaft dieses Blogs vermutlich bestens informiert ist und die Exchange Server auf dem aktuellen Patchstand h\u00e4lt. Wir haben Freitag, den 13. und stehen kurz vor Wochenende. Und es sieht so aus, als ob jetzt die Angriffswelle auf Microsoft Exchange Server \u00fcber die ProxyShell-Schwachstelle anrollt. Alle Exchange Server, die noch auf dem Patchstand M\u00e4rz 2021 laufen und per Internet erreichbar sind, sind f\u00fcr diese Angriffe anf\u00e4llig und k\u00f6nnen \u00fcbernommen werden.<\/p>\n

<\/p>\n

Die ProxyShell-Schwachstelle<\/h2>\n

\"\"Der taiwanesische Sicherheitsforscher Orange Tsai vom DEVCORE-Team hat Anfang Augst auf der BlackHat 2021 einen Vortrag \u00fcber Exchange-Schwachstellen gehalten. Dabei zeigte er, wie durch Kombination alter Schwachstellen (z.B. CVE-2021-34473, CVE-2021-34523 und CVE-2021-31207), die im April 2021 durch Updates geschlossen wurden, Microsoft Exchange-Server \u00fcber ProxyLogon, ProxyOracle und ProxyShell genannte Exploits angegriffen und \u00fcbernommen werden k\u00f6nnen.<\/p>\n

Ich hatte im Blog-Beitrag Exchange-Schwachstellen: Droht Hafnium II?<\/a> \u00fcber diesen Sachverhalt berichtet. Die Empfehlung lautete, die On-Premises Exchange-Server auf den aktuellen Patchstand zu bringen und daf\u00fcr zu sorgen, dass diese nicht per Internet erreichbar sind.<\/p>\n

Tausende ungepatchte Systeme und Scans<\/h2>\n

Bereits im Beitrag Blog-Beitrag Exchange-Schwachstellen: Droht Hafnium II?<\/a> hatte ich angedeutet, dass Sicherheitsforscher erste Zugriffsversuche auf ihre als Honeypot fungierenden Exchange Server feststellen. Die Kollegen von Bleeping Computer haben den Sachverhalt in diesem Artikel<\/a> neu aufgegriffen. Rich Warren vom Red Team der NCC Group Research & Technology weist in nachfolgendem Tweet<\/a> auf diesen Sachverhalt hin.<\/p>\n

\"Exchange<\/a><\/p>\n

Die Sicherheitsforscher beobachten erste Exploit-Versuche in freier Wildbahn gegen deren Honeypot-Infrastruktur f\u00fcr die Exchange ProxyShell-Schwachstellen. Bei diesem Versuch wurde eine c# aspx-Webshell im Verzeichnis \/aspnet_client\/ <\/em>abgelegt.<\/p>\n

Auch Sicherheitsforscher Kevin Beaumont stellt fest, dass die Angriffswelle anl\u00e4uft, wie man aus nachfolgendem Tweets<\/a> folgern kann.<\/p>\n

\"ProxyShell<\/a><\/p>\n

Bei einem erfolgreichen Angriff wird eine eigene Webshell auf das Exchange System hochgeladen, die dann f\u00fcr verschiedene Aktivit\u00e4ten verantwortlich ist. Bleeping Computer hat den Sachverhalt samt den Details, nach Hinweisen des oben genannten Sicherheitsforschers Warren, im Artikel<\/a> noch etwas ausf\u00fchrlicher beschrieben.<\/p>\n

Zu viele ungepatchte Systeme<\/h2>\n

Abhilfe schafft das Aktualisieren der Exchange Server auf den aktuellen Update-Stand, wie ich auch im Blog-Beitrag Exchange-Schwachstellen: Droht Hafnium II?<\/a> angedeutet hatte. Das Problem ist, dass weltweit Tausende \u00fcber die ProxyShell-Schwachstelle angreifbare Exchange-Server laufen. Alleine In Deutschland sind fast 6.000 Exchange Server per Internet zu erreichen und \u00fcber die Schwachstellen CVE-2021-34473 angreifbar (siehe<\/a>).<\/p>\n

Im Blog-Beitrag Exchange Server: Neues zu den ProxyShell-Schwachstellen<\/a> hatte ich zudem Hinweise f\u00fcr Exchange-Administratoren geliefert. Einmal gibt es einen ProxyShell-Checker als Nmap-Plugin von Sicherheitsforscher Kevin Beaumont. Zudem hat Florian Roth seine ProxyShell Sigma-Regeln<\/a> f\u00fcr SIEM-Systeme erweitert und ge\u00e4ndert. Diese erkennen jetzt versuchte und erfolgreiche Angriffe.<\/p>\n

\u00c4hnliche Artikel:
\n<\/strong>Exchange-Server 0-day-Exploits werden aktiv ausgenutzt, patchen!<\/a>
\nWichtige Hinweise Microsofts und des BSI zum Exchange-Server Sicherheitsupdate (M\u00e4rz 2021)<\/a>
\nExchange-Probleme mit ECP\/OWA-Suche nach Sicherheitsupdate (M\u00e4rz 2021)<\/a>
\nNeues zum Exchange-Hack \u2013 Testtools von Microsoft & Co.<\/a>
\nMicrosoft MSERT hilft bei Exchange-Server-Scans<\/a>
\nExchange-Hack: Neue Patches und neue Erkenntnisse<\/a>
\nAnatomie des ProxyLogon Hafinum-Exchange Server Hacks<\/a>
\nExchange-Hack: Neue Opfer, neue Patches, neue Angriffe<\/a>
\nNeues zur ProxyLogon-Hafnium-Exchange-Problematik (12.3.2021)<\/a>
\nGab es beim Exchange-Massenhack ein Leck bei Microsoft?<\/a>
\nProxyLogon-Hack: Repository f\u00fcr betroffene Exchange-Administratoren<\/a>
\nMicrosoft Exchange (On-Premises) one-click Mitigation Tool (EOMT) freigegeben<\/a>
\nSicherheitsupdate f\u00fcr Exchange Server 2013 Service Pack 1 \u2013 Neue CUs f\u00fcr Exchange 2019 und 2016 (16.3.2021)<\/a>
\nMicrosoft Defender schlie\u00dft automatisch CVE-2021-26855 auf Exchange Server<\/a>
\nExchange ProxyLogon News: Patch-Stand, neue Ransomware etc. (25.3.2021)<\/a>
\nNeues zum Exchange-Hack: Wie schaut es mit dem Risiko aus? (1. April 2021)<\/a>
\nVorwarnung: 0-Day-Schwachstellen, ist das n\u00e4chste Exchange-Drama im Anrollen?<\/a>
\nSicherheitsupdates f\u00fcr Exchange Server (Juli 2021)<\/a>
\nKumulative Exchange Updates Juni 2021 ver\u00f6ffentlicht<\/a>
\nExchange Server Security Update KB5001779 (13. April 2021)<\/a>
\nExchange-Schwachstellen: Droht Hafnium II?<\/a>
\nExchange Server: Neues zu den ProxyShell-Schwachstellen<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Ich hole den Vorgang nochmals vor dem Wochenende hoch, auch wenn die Leserschaft dieses Blogs vermutlich bestens informiert ist und die Exchange Server auf dem aktuellen Patchstand h\u00e4lt. Wir haben Freitag, den 13. und stehen kurz vor Wochenende. Und es … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,7459,2557],"tags":[5418,4328],"class_list":["post-256650","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-software","category-windows-server","tag-exchange-server","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/256650","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=256650"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/256650\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=256650"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=256650"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=256650"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}