Rund um die jährlich in Las Vegas stattfindende Sicherheitskonferenz BlackHat veröffentlichen Sicherheitsforscher oftmals bisher unbekannte Sicherheitslücken – so auch in diesem Jahr: Drei Schwachstellen in Microsoft Exchange sorgen einmal mehr für Arbeit in Unternehmen, die einen Exchange-Server lokal betreiben. Die Bezeichnungen lauten:
CVE-2021-34473
CVE-2021-34523
CVE-2021-31207
„Bereits die Angriffe der Hafnium-Gruppe auf lokale Exchange-Server im März dieses Jahres führten zu einer extremen Anzahl von Sicherheitsvorfällen“, sagt Tim Berghoff, Security Evangelist bei G DATA CyberDefense. „Da Angreifer aktiv versuchen die Lücke auszunutzen, ist unverzügliches Handeln sehr wichtig. Die Patches sind bereits seit April beziehungsweise Mai verfügbar.“
Der auf den Namen „ProxyShell“ getaufte Angriff bedient sich dieser drei Sicherheitslücken, um Zugriff auf verwundbare Systeme zu erlangen. Potenziell sind zirka 400.000 Exchange-Server weltweit betroffen. In diesem Zusammenhang warnt das Forscherteam davor, Exchange-Server zum Internet hin zu exponieren. Exchange-Instanzen, die über Port 443 aus dem Internet erreichbar sind, haben ein erhöhtes Risiko, zum Ziel eines Angriffs zu werden.
Betroffen sind lokale Installationen von Microsoft Exchange 2013, 2016 und 2019.
Parallelen zu Hafnium-Angriffen
Wie bei den Exchange-Sicherheitslücken, die die Hafnium-Gruppe ausgenutzt hatte, haben Angreifer auch im Falle einer der „ProxyShell“-Sicherheitslücken damit begonnen, aktiv nach verwundbaren Systemen zu suchen. Es ist damit zu rechnen, dass diese Aktivitäten in den kommenden Tagen weiter zunehmen.
Angriff aus einer neuen Perspektive
Alle Sicherheitslücken sind bereits gepatcht – zwei davon bereits seit April (Patch KB5001779) und eine seit Mai (KB5002325). Es stand also ein Update bereit, bevor Microsoft erstmals im Juli von außen informiert wurde. Es spricht also einiges dafür, dass die Lücke intern bekannt war und „im Stillen“ gepatcht wurde. Nach Aussage des Sicherheitsforschers mit dem einprägsamen Handle Orange Tsai hat ProxyShell „bisher nie dagewesene Auswirkungen“, da die Erforschung der Angriffsmethode nicht wie üblich auf Speicherlecks oder Logikfehlern basiert, sondern auf „einem Ansatz, der sich auf die Architektur des Systems“ konzentriert.