{"id":257010,"date":"2021-08-26T12:20:55","date_gmt":"2021-08-26T10:20:55","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=257010"},"modified":"2021-08-26T13:34:59","modified_gmt":"2021-08-26T11:34:59","slug":"exchange-und-proxyshell-neues-von-microsoft-und-sicherheitsspezialisten","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/08\/26\/exchange-und-proxyshell-neues-von-microsoft-und-sicherheitsspezialisten\/","title":{"rendered":"Exchange und ProxyShell: Neues von Microsoft und Sicherheitsspezialisten"},"content":{"rendered":"

\"Sicherheit[English<\/a>]\u00dcber Angriffe auf ungepatchte on-premises Exchange Server mittels der ProxyShell-Methode hatte ich im Blog ja mehrfach berichtet. Nun hat sich Microsoft in einem Beitrag dazu ge\u00e4u\u00dfert und gibt an, welches Systeme gef\u00e4hrdet sind. Zudem liegen mir weitere Informationen von HurricaneLabs vor, wonach Administratoren im Hinblick auf eine Infektion Ausschau halten sollten. Daher nochmals eine Zusammenfassung des Sachstands.<\/p>\n

<\/p>\n

Angriffe per ProxyShell-Schwachstelle<\/h2>\n

\"\"Der taiwanesische Sicherheitsforscher Orange Tsai vom DEVCORE-Team hat Anfang Augst auf der BlackHat 2021 einen Vortrag \u00fcber Exchange-Schwachstellen gehalten (siehe mein Blog-Beitrag Exchange-Schwachstellen: Droht Hafnium II?<\/a>). Dabei zeigte er, wie durch Kombination alter Schwachstellen (z.B. CVE-2021-34473, CVE-2021-34523 und CVE-2021-31207), die im April 2021 durch Updates geschlossen wurden, Microsoft Exchange-Server \u00fcber ProxyLogon, ProxyOracle und ProxyShell genannte Exploits angegriffen und \u00fcbernommen werden k\u00f6nnen.<\/p>\n

\"\"Die Empfehlung lautete, die On-Premises Exchange-Server auf den aktuellen Patchstand zu bringen und daf\u00fcr zu sorgen, dass diese nicht per Internet erreichbar sind (siehe auch Exchange Server: Neues zu den ProxyShell-Schwachstellen<\/a>). Bereits im Blog-Beitrag Angriffe auf Exchange Server per ProxyShell-Schwachstelle rollen an (13.8.2021)<\/a> hatte ich dann auf beginnende Angriffe hingewiesen. Der letzte Sachstand ist, dass vor dem letzten Wochenende fast 2.000 Exchange-Server erfolgreich angegriffen wurden (siehe Angriffswelle, fast 2.000 Exchange-Server \u00fcber ProxyShell gehackt<\/a>). Microsofts Antivirus-Tools k\u00f6nnen zwar einige Schadprogramme erkennen. Im Blog-Beitrag ProxyShell, ProxyLogon und Microsofts Exchange-Doku f\u00fcr Ausnahmen vom Virenschutz<\/a> hatte ich aber darauf hingewiesen, dass Microsofts Empfehlungen viele Exchange-Ordner von einem Scan ausnehmen.<\/p>\n

Microsoft \u00e4u\u00dfert sich zu ProxyShell<\/h2>\n

Microsoft hat sich ja lange nicht zu obiger Thematik ge\u00e4u\u00dfert. Sicherheitsforscher Kevin Beaumont hat dies in einer Serien von Tweets<\/a> aufgegriffen.<\/p>\n

<\/a><\/p>\n

Problem ist wohl, dass eine Reihe Exchange Server von Suchmaschinen als angreifbar ausgeworfen werden, obwohl sie nicht \u00fcber ProxyShell angreifbar sind. Hier ist es gut, dass Microsoft im Techcommunity-Beitrag ProxyShell vulnerabilities and your Exchange Server<\/a> eine klare Aussage trifft.<\/p>\n