Schwachstelle Exchange-Server III - Exchange-Server immer noch ungepatcht?

Gut zwei Wochen nach Bekanntwerden der Sicherheitslücken des Microsoft Exchange-Servers gibt es laut CERT immer noch 12.000 Exchange-Servern in Deutschland, die ungepachtet im Netz zu finden sind!Immerhin sind von den ca. 56.000 Exchange-Servern schon 44.000 gepatcht. Aber nach all der Berichterstattung und nachdem der BSI die Warnstufe „Rot“ ausgerufen hat, ist es doch sehr verwunderlich.

Die Stunde der Krypto-Miner

Was die einen verwundert, nutzen die anderen freimütig für Ihre Zwecke. So wird laut Computer-Notfallteam (CERT Bund) des Bundesamts für Sicherheit in der Informationstechnik (BSI) auf mindesten 600 Exchange-Servern in Deutschland Kryptomining- Schadsoftwarebetrieben. Diese 600 Exchange-Servern sind zum Teil Server, welche immer noch mit den bekannten Sicherheitslücken im Internet zu finden sind, aber auch gepatchte Systeme, die vor dem Softwareupdate befallen wurden. Das BSI mahnt weiterhin, dringend die zur Verfügung stehenden Sicherheitsupdates einzuspielen. Allerdings müssen auch aktualisierte Systeme genauestens überprüft werden und auf einen möglichen Befall untersucht werden.

Quelle: CERT-Bund via Twitter

Lücken sind da, um sie zu nutzen

Dieses Motto dürfte man sicher der Hacker-Industrie auf die Fahne schreiben, schließlich leben sie davon. Bereits im Dezember konnten taiwanesische Sicherheitsexperten nachweisen, dass ein Exploit die Schwachstelle im Exchange-Server ausnutzt. Sich auf diesem Weg als Administrator Zugang verschafft und die Authentifizierung einfach umgeht. Da wurde die Lücke allerdings schon im großen Stil genutzt. Ende Februar und Anfang März gab es die größte Welle gezielter Angriffe auf die Schwachstelle im Exchange-Server, unmittelbar nachdem Microsoft einen Patch dafür angekündigt hatte.

Ein Angreifer kommt selten allein

HAFNIUM, eine chinesische Hackergruppe, wurde von Microsoft als maßgeblicher Angreifer auf die Exchange- Schwachstelle genannt. Ganz schnell sind weitere Hacker-Gruppen dazu übergegangen, diese Schwachstellen auszunutzen. Ging man bei HAFNIUM noch davon aus, das Ziel sei Cyberspionage, werden immer mehr System entdeckt, welche mit Ransomware (Verschlüsselung und Erpressen – Sie erinnern sich?) infiziert sind. Jüngst haben Sicherheitsexperten die Krypto-Miner entdeckt. Vermutlich nicht die Letzten, welche die Möglichkeiten, die die Schwachstelle bietet, ausschöpfen. 

Sie sehen also, es lohnt sich immer noch zu patchen!