Categories: Sicherheit

Über 350.000 Exchange-Server anfällig für Angriffe

Nach Untersuchungen des Sicherheitsanbieters Rapid7 sind noch über 350.000 Exhcange-Server anfällig für die Sicherheitslücke CVE-2020-0688, vor der selbst die NSA gewarnt hat. Und das obwohl Microsoft die RCE-Sicherheitslücke im Rahmen des regulären monatlichen Updates im Februar bereits geschlossen hatte. Entdeckt wurde die Schwachstelle von Trend Micros Zero Day Initiative (ZDI).

Die Schwachstelle wird Analysen zufolge aktiv ausgenutzt. Die Sicherheitsfirma Volexity registriert seit Ende Februar entsprechende Aktivitäten. Eine Quelle des US-Verteidigungsministeriums (DoD) bestätigte auf Anfrage von ZDNet USA die laufenden Angriffe, ohne die dahinterstehendenen Akteure zu nennen.

Nach Untersuchungen von Rapid7 sind 82,5 Prozent (357.629) der 433.464 überprüften Exchange-Server noch anfällig für CVE-2020-0688. Laut Tom Sellers von Rapid7 ermöglicht die Schwchstelle Angreifern, „die gesamte Exchange-Umgebung (einschließlich aller E-Mails) und möglicherweise das gesamte Active Directory vollständig zu gefährden“, je nachdem, wie der Server implementiert wurde.

Angesichts des hohen Wertes von Exchange-Umgebungen befürchten Sicherheitsexperten, dass die Schwachstelle zu einem Favoriten für Ransomware-Angreifer und zu einem lukrativen Ziel für APT-Angreifer werden könnte, die damit E-Mails eines Unternehmens lesen können.

„Das Update für CVE-2020-0688 muss auf jedem Server mit aktiviertem Exchange Control Panel (ECP) installiert werden. Dies sind in der Regel Server mit der Client Access Server (CAS)-Rolle, über die Ihre Benutzer auf die Outlook-Webanwendung (OWA) zugreifen würden“, erklärt Sellers.

Er riet den Admins außerdem, festzustellen, ob Angreifer versucht haben, die Exchange-Schwachstelle auszunutzen. Da Angreifer mindestens einen gültigen Berechtigungsnachweis für ein E-Mail-Konto auf dem Exchange-Server benötigen, weist Sellers darauf hin, dass jedes Konto, das mit dem Ausnutzungsversuch verbunden ist, als kompromittiertes Konto behandelt werden sollte.

Forscher bei Kenna Security haben zwei Analysen der Patching-Raten für den Exchange-Bug durchgeführt. Die erste Analyse ergab, dass nur 15 Prozent der anfälligen Exchange-Server gepatcht wurden. Eine zweite Analyse, bei der 22.000 internetseitige Outlook Web Access (OWA)-Server gescannt wurden, ergab, dass 74 Prozent anfällig und 26 Prozent potentiell gefährdet sind.

„Lassen Sie alles stehen und liegen und patchen Sie diese Sicherheitslücke sofort“

„Lassen Sie alles stehen und liegen und patchen Sie diese Sicherheitslücke sofort. Derzeit stellt diese Schwachstelle ein größeres Risiko dar als die meisten anderen Schwachstellen in der Unternehmensumgebung“, schrieb Jonathan Cran, Forschungsleiter bei Kenna Security.

„Wenn das Patchen einfach nicht möglich ist, blockieren Sie den Zugriff auf ECP. Letztendlich sprechen solche Schwachstellen für ein Upgrade auf Office 365“.

Der Scan von Rapid7 identifizierte auch über 31.000 Exchange 2010-Server, die seit 2012 nicht mehr gepatcht wurden, sowie fast 800 Exchange 2010-Server, die nie aktualisiert wurden. Es wurde auch eine hohe Anzahl von Exchange 2007-Servern gefunden, die seit April 2017 nicht mehr unterstützt werden, sowie über 166.000 Exchange 2010-Server, die mit dem Internet verbunden sind und am 13. Oktober das Ende der Unterstützung erreichen. „Das ist eine erschreckende Anzahl von Mailsystemen der Unternehmensklasse, die in einigen Monaten nicht mehr unterstützt werden“, so Sellers.

WEBINAR

Webinar-Aufzeichnung: Auf zu neuen Höhen mit SkySQL, der ultimativen MariaDB Cloud

In diesem Webinar stellen wir Ihnen SkySQL vor, erläutern die Architektur und gehen auf die Unterschiede zu anderen Systemen wie Amazon RDS ein. Darüber hinaus erhalten Sie einen Einblick in die Produkt-Roadmap, eine Live-Demo und erfahren, wie Sie SkySQL innerhalb von nur wenigen Minuten in Betrieb nehmen können.

Kai Schmerer

Kai ist seit 2000 Mitglied der ZDNet-Redaktion, wo er zunächst den Bereich TechExpert leitete und 2005 zum Stellvertretenden Chefredakteur befördert wurde. Als Chefredakteur von ZDNet.de ist er seit 2008 tätig.

Recent Posts

Android Security: Drittanbieter schützen besser

Das Testinstitut AV-Comparatives hat neun weit verbreitete Android Security Apps auf Herz und Nieren geprüft.…

13 Stunden ago

Samsung hat Erfolg in der Krise

Samsung bleibt trotz der COVID19-Krise auf der Erfolgsspur und hat seinen Gewinn im zweiten Halbjahr…

17 Stunden ago

Fraunhofer HHI führt Videokodierstandard H.266/VVC ein

Das Fraunhofer Heinrich-Hertz-Institut (HHI) war wesentlich daran beteiligt, den neuen weltweiten Videokodierstandard H.266 / Versatile…

20 Stunden ago

So greift EKANS Ransomware kritische Infrastrukturen an

Sicherheitsexperten von Fortinet haben die EKANS Ransomware gründlich analysiert und zeigen auf, welche Angriffstechniken die…

21 Stunden ago

So wird IT zukunftssicher

IT und vor allem Unternehmensanwendungen verändern sich durch umfassende Digitalisierungen und Herausforderungen wie die Covid-19-Krise…

22 Stunden ago

AVM veröffentlicht FritzOS 7.20 für Fritzbox 7590

FritzOS 7.20 soll eine erhebliche Performancesteigerung bringen. Außerdem beinhaltet es Komfortfunktionen für das smarte Heimnetz,…

2 Tagen ago