{"id":256884,"date":"2021-08-22T02:29:32","date_gmt":"2021-08-22T00:29:32","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=256884"},"modified":"2021-08-26T12:18:39","modified_gmt":"2021-08-26T10:18:39","slug":"angriffswelle-fast-2-000-exchange-server-ber-proxyshell-gehackt","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/08\/22\/angriffswelle-fast-2-000-exchange-server-ber-proxyshell-gehackt\/","title":{"rendered":"Angriffswelle, fast 2.000 Exchange-Server über ProxyShell gehackt"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Ich habe lange darauf gewartet, aber jetzt ist das Bef\u00fcrchtete eingetreten. Seit Freitag l\u00e4uft eine massive Angriffswelle auf ungepatchte Microsoft Exchange-Server \u00fcber die ProxyShell-Schwachstelle. Huntres hat bereits \u00fcber 1.900 gehackte Exchange-Server entdeckt, aber denen eine Shell installiert wurde. Inzwischen warnt CERT-Bund ebenfalls. Hier einige Informationen zum Sachstand.<\/p>\n

<\/p>\n

CERT-Bund warnt vor Angriffswelle<\/h2>\n

\"\"Ich bin auf Twitter \u00fcber verschiedene Quellen auf eine seit Freitag laufende Angriffswelle auf ungepatchte Microsoft Exchange-Server aufmerksam geworden. CERT-Bund hat inzwischen nachfolgende Warnung<\/a> herausgegeben.<\/p>\n

\"Angriffswelle<\/a><\/p>\n

Die HuntressLabs des betreffenden Sicherheitsanbieters haben binnen 48 Stunden mehr als 140 Webshells auf mehr als 1900 ungepatchten Rechnern mit Microsoft Exchange entdeckt. Diese 140+ Webshells wurden auf Server 2013\/2016\/2019 Versionen von On-Prem Exchange gefunden. Es ist zu beachten, dass die meisten Webshells zuf\u00e4llig benannt sind, einige jedoch wiederkehrende Muster aufweisen. Die Exchange Server wurden mittels der ProxyShell infiziert.\u00a0 Huntress hat zum 21. August 2021 den Blog-Beitrag Microsoft Exchange Server still vulnerable to ProxyShell Exploit<\/a> ver\u00f6ffentlicht, der kontinuierlich erg\u00e4nzt wird.<\/p>\n

\"Exchange<\/a><\/p>\n

Sicherheitsforscher Kevin Beaumont hat auf DoublePulsar diesen Artikel<\/a> zum Thema ver\u00f6ffentlicht (siehe auch obiger Tweet<\/a>). Weitere Artikel finden sich bei The Record<\/a>, und Bleeping Computer berichtet hier<\/a>, dass die FileLocker Ransomware-Gang die Exchange-Server per ProxyShell-Exploit angreift. Zu den betroffenen Unternehmen geh\u00f6ren Bauunternehmen, Fischverarbeitungsbetriebe, Industriemaschinen, Autowerkst\u00e4tten, ein kleiner Flughafen und mehr. Das Wochenende wird lustig werden.<\/p>\n

Die ProxyShell-Schwachstelle<\/h2>\n

Der taiwanesische Sicherheitsforscher Orange Tsai vom DEVCORE-Team hat Anfang Augst auf der BlackHat 2021 einen Vortrag \u00fcber Exchange-Schwachstellen gehalten. Dabei zeigte er, wie durch Kombination alter Schwachstellen (z.B. CVE-2021-34473, CVE-2021-34523 und CVE-2021-31207), die im April 2021 durch Updates geschlossen wurden, Microsoft Exchange-Server \u00fcber ProxyLogon, ProxyOracle und ProxyShell genannte Exploits angegriffen und \u00fcbernommen werden k\u00f6nnen.<\/p>\n

Ich hatte im Blog-Beitrag Exchange-Schwachstellen: Droht Hafnium II?<\/a> \u00fcber diesen Sachverhalt berichtet. Die Empfehlung lautete, die On-Premises Exchange-Server auf den aktuellen Patchstand zu bringen und daf\u00fcr zu sorgen, dass diese nicht per Internet erreichbar sind (siehe auch Exchange Server: Neues zu den ProxyShell-Schwachstellen<\/a>). Bereits im Blog-Beitrag Angriffe auf Exchange Server per ProxyShell-Schwachstelle rollen an (13.8.2021)<\/a> hatte ich dann auf beginnende Angriffe hingewiesen.<\/p>\n

Erg\u00e4nzung:<\/strong> I verlinkten Artikel<\/a> gibt es einen kurzen Hinweis, in welchen Ordnern Hinweise zu Infektionen zu finden sind. In diesem Tweet<\/a> gibt es Hinweise auf eine neue Shell, die auf infizierten Systemen gefunden wurde.<\/p>\n

\u00c4hnliche Artikel:
\n<\/strong>Exchange-Server 0-day-Exploits werden aktiv ausgenutzt, patchen!<\/a>
\nWichtige Hinweise Microsofts und des BSI zum Exchange-Server Sicherheitsupdate (M\u00e4rz 2021)<\/a>
\nExchange-Probleme mit ECP\/OWA-Suche nach Sicherheitsupdate (M\u00e4rz 2021)<\/a>
\nNeues zum Exchange-Hack \u2013 Testtools von Microsoft & Co.<\/a>
\nMicrosoft MSERT hilft bei Exchange-Server-Scans<\/a>
\nExchange-Hack: Neue Patches und neue Erkenntnisse<\/a>
\nAnatomie des ProxyLogon Hafinum-Exchange Server Hacks<\/a>
\nExchange-Hack: Neue Opfer, neue Patches, neue Angriffe<\/a>
\nNeues zur ProxyLogon-Hafnium-Exchange-Problematik (12.3.2021)<\/a>
\nGab es beim Exchange-Massenhack ein Leck bei Microsoft?<\/a>
\nProxyLogon-Hack: Repository f\u00fcr betroffene Exchange-Administratoren<\/a>
\nMicrosoft Exchange (On-Premises) one-click Mitigation Tool (EOMT) freigegeben<\/a>
\nSicherheitsupdate f\u00fcr Exchange Server 2013 Service Pack 1 \u2013 Neue CUs f\u00fcr Exchange 2019 und 2016 (16.3.2021)<\/a>
\nMicrosoft Defender schlie\u00dft automatisch CVE-2021-26855 auf Exchange Server<\/a>
\nExchange ProxyLogon News: Patch-Stand, neue Ransomware etc. (25.3.2021)<\/a>
\nNeues zum Exchange-Hack: Wie schaut es mit dem Risiko aus? (1. April 2021)<\/a>
\nVorwarnung: 0-Day-Schwachstellen, ist das n\u00e4chste Exchange-Drama im Anrollen?<\/a>
\nSicherheitsupdates f\u00fcr Exchange Server (Juli 2021)<\/a>
\nKumulative Exchange Updates Juni 2021 ver\u00f6ffentlicht<\/a>
\nExchange Server Security Update KB5001779 (13. April 2021)<\/a>
\nExchange-Schwachstellen: Droht Hafnium II?<\/a>
\nExchange Server: Neues zu den ProxyShell-Schwachstellen<\/a>
\nAngriffe auf Exchange Server per ProxyShell-Schwachstelle rollen an (13.8.2021)<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Ich habe lange darauf gewartet, aber jetzt ist das Bef\u00fcrchtete eingetreten. Seit Freitag l\u00e4uft eine massive Angriffswelle auf ungepatchte Microsoft Exchange-Server \u00fcber die ProxyShell-Schwachstelle. Huntres hat bereits \u00fcber 1.900 gehackte Exchange-Server entdeckt, aber denen eine Shell installiert wurde. Inzwischen warnt … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,7459,185],"tags":[5359,4328,4315],"class_list":["post-256884","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-software","category-update","tag-exchange","tag-sicherheit","tag-update"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/256884","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=256884"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/256884\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=256884"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=256884"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=256884"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}