Microsoft Exchange Server ist ein beliebtes Angriffsziel für IT-Kriminelle. Der Mailserver ist weit verbreitet in Unternehmen und Behörden und immer wieder Einfallstor in deren Netze. In der vergangenen Woche stellte der Sicherheitsforscher Orange Tsai
Mehrere Probleme musste Orange Tsai kombinieren, wie er in seinem Vortrag beschreibt, um als unauthentifizierter Nutzer von außen Zugriff zu bekommen und sich mit mehr Rechten auszustatten. Die Schwachstelle lag im Client Access Service (CAS) von Exchange. Der wickelt eingehenden Verkehr für verschiedene Protokolle ab. Das offene Tor war die Autodiscover-Funktion. Über die Autodiscover-Datei rufen Mail-Clients bei der Einrichtung Details zum Server ab und ersparen dem Nutzer so, Serveradresse, Port und weitere Details abzutippen.
Nur wenige Tage nach dem Vortrag auf der Black Hat beobachte der IT-Sicherheitsexperte
Sicherheitsforscher Orange Tsai kann unterdessen nicht auf eine Belohnung aus Microsofts Bug-Bounty-Programm hoffen. Exchange Server ist
Quelle: heise
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
neue Angriffe auf die Software vor. Nur wenige Tage später wird offenbar gezielt nach der Lücke gesucht, wie Betreiber von Honeypots beschreiben. Admins sollten die Server umgehend mit allen bereitstehenden Updates versorgen. Die Updates sind schon vor Monaten erschienen und schließen die Lücken.Mehrere Probleme musste Orange Tsai kombinieren, wie er in seinem Vortrag beschreibt, um als unauthentifizierter Nutzer von außen Zugriff zu bekommen und sich mit mehr Rechten auszustatten. Die Schwachstelle lag im Client Access Service (CAS) von Exchange. Der wickelt eingehenden Verkehr für verschiedene Protokolle ab. Das offene Tor war die Autodiscover-Funktion. Über die Autodiscover-Datei rufen Mail-Clients bei der Einrichtung Details zum Server ab und ersparen dem Nutzer so, Serveradresse, Port und weitere Details abzutippen.
Patches seit April fertig
Gleich drei CVE-Nummern gab es für die Probleme, die unter dem Namen ProxyShell in die Geschichte eingehen (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207). Repariert wurden sie von Microsoft im April und Mai mitDu musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
und
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
. Die ersten beiden Lücken hat Microsoft schon gepatcht, bevor Tsai sie gemeldet hat. Microsoft muss also auch auf anderem Weg davon erfahren haben. Wer seitdem seine Server, die am Internet hängen, seitdem nicht gepatcht hat, muss das zügig nachholen.Nur wenige Tage nach dem Vortrag auf der Black Hat beobachte der IT-Sicherheitsexperte
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
auf seinem Exchange Server, den er als Honeypot aufgesetzt hat, Einträge im Log, in denen genau die Autodiscover-Lücke ausprobiert wurde. Das deutet darauf hin, dass auch die Angreifer die Vorträge auf Sicherheitskonferenzen verfolgen und ihre automatischen Tests schnell anpassen.Sicherheitsforscher Orange Tsai kann unterdessen nicht auf eine Belohnung aus Microsofts Bug-Bounty-Programm hoffen. Exchange Server ist
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
Quelle: heise
