Microsoft Exchange Server ist ein beliebtes Angriffsziel für IT-Kriminelle. Der Mailserver ist weit verbreitet in Unternehmen und Behörden und immer wieder Einfallstor in deren Netze. In der vergangenen Woche stellte der Sicherheitsforscher Orange Tsai auf der Konferenz Black Hat 2021 neue Angriffe auf die Software vor. Nur wenige Tage später wird offenbar gezielt nach der Lücke gesucht, wie Betreiber von Honeypots beschreiben. Admins sollten die Server umgehend mit allen bereitstehenden Updates versorgen. Die Updates sind schon vor Monaten erschienen und schließen die Lücken. Mehrere Probleme musste Orange Tsai kombinieren, wie er in seinem Vortrag beschreibt, um als unauthentifizierter Nutzer von außen Zugriff zu bekommen und sich mit mehr Rechten auszustatten. Die Schwachstelle lag im Client Access Service (CAS) von Exchange. Der wickelt eingehenden Verkehr für verschiedene Protokolle ab. Das offene Tor war die Autodiscover-Funktion. Über die Autodiscover-Datei rufen Mail-Clients bei der Einrichtung Details zum Server ab und ersparen dem Nutzer so, Serveradresse, Port und weitere Details abzutippen. Gleich drei CVE-Nummern gab es für die Probleme, die unter dem Namen ProxyShell in die Geschichte eingehen (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207). Repariert wurden sie von Microsoft im April und Mai mit KB5001779 und KB5003435. Die ersten beiden Lücken hat Microsoft schon gepatcht, bevor Tsai sie gemeldet hat. Microsoft muss also auch auf anderem Weg davon erfahren haben. Wer seitdem seine Server, die am Internet hängen, seitdem nicht gepatcht hat, muss das zügig nachholen. Nur wenige Tage nach dem Vortrag auf der Black Hat beobachte der IT-Sicherheitsexperte Kevin Beaumont auf seinem Exchange Server, den er als Honeypot aufgesetzt hat, Einträge im Log, in denen genau die Autodiscover-Lücke ausprobiert wurde. Das deutet darauf hin, dass auch die Angreifer die Vorträge auf Sicherheitskonferenzen verfolgen und ihre automatischen Tests schnell anpassen. Sicherheitsforscher Orange Tsai kann unterdessen nicht auf eine Belohnung aus Microsofts Bug-Bounty-Programm hoffen. Exchange Server ist vom Programm nicht abgedeckt.

Quelle: Heise