Derzeit haben es Angreifer abermals auf Microsoft Exchange Server abgesehen. Nach erfolgreichen Attacken platzieren sie Hintertüren in Systemen, kopieren Geschäftsinterna und verschlüsseln Daten mit der Conti-Ransomware. Sicherheitspatches sind seit April verfügbar. In einem Bericht führen Sicherheitsforscher von Sophos aus, dass sie Attacken beobachtet haben, bei denen sich Angreifer nach dem Ausnutzen der als „kritisch“ eingestuften ProxyShell getauften Lücken (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207) systematisch in Netzwerken ausbreiten und Schadcode installieren. Kombinieren Angreifer die Schwachstellen, können sie Systeme aus der Ferne attackieren, die Authentifizierung umgehen, sich erhöhte Nutzerrechte verschaffen und eigenen Code ausführen. Die Forscher geben an, dass die Angreifer innerhalb von wenigen Tagen sieben Backdoors für spätere Zugriffe im System hinterlassen haben. Außerdem haben sie 1 Terabyte Daten kopiert und die Conti-Verschlüsselungstrojaner von der Leine gelassen. Für Attacken setzen Angreifer an der verwundbare Autodiscovery-Funktion an. Typischerweise passiert dies mit Anfragen wie dieser:
https://Exchange-server/autodiscover/autodiscover.json?@foo.com/mapi/nspi/?&Email=autodiscover/autodiscover.json%3F@foo.com
Unter /autodiscover/autodiscover.json können Admins Logdateien nach etwa unbekannten E-Mail-Adresse durchsuchen, um Angriffsversuche zu erkennen. Im aktuellen Fall sollen Adressen mit @evil.corp vorkommen. Da die Installation der seit April verfügbaren Sicherheitspatches einem Upgrade gleichkommt und etwa Mails über Exchange Server in diesem Zeitraum nicht ankommen oder rausgehen, haben einige Admins die Updates offensichtlich noch nicht installiert. Das sollte spätestens jetzt passieren. Das von den Lücken ausgehende Risiko ist sehr hoch und Angreifer nutzen die ProxyShell-Schwachstellen schon seit rund einem Monat aktiv aus.