Angreifer haben es auf Microsofts Groupware und E-Mail-Transport-Server Exchange Server abgesehen und scannen aktiv nach verwundbaren Versionen mit einer Sicherheitslücke (CVE-2020-0688). Gelingt eine Attacke, könnten Angreifer die volle Kontrolle über Server erlangen.
Sicherheitsupdates sind bereits seit dem Patchday von Anfang Februar verfügbar. Microsoft stuft die Sicherheitsupdates als "wichtig" und nicht als kritisch ein. Bevorstehende Attacken sehen sie aber als sehr wahrscheinlich an. Admins sollten aufgrund der Entwicklungen ihre Server zeitnah absichern.
Über die Scans nach angreifbaren Servern berichtet unter anderem der Sicherheitsforscher Kevin Beaumont auf Twitter. Von der Lücke sollen alle Versionen von Exchanger Server – auch die sich nicht mehr im Support befindlichen – bedroht sein. In einer Warnmeldung von Microsoft sind die abgesicherten Ausgaben verlinkt.
Attacken mit weitreichenden Folgen
Das Problem ist, dass Exchange Server bei der Installation anstatt zufällige identische kryptografische Schlüssel erzeugt. Damit ausgerüstet könnte ein authentifizierter Angreifer Schadcode mit System-Rechten ausführen und Server übernehmen.
Anschließend könnte er beispielsweise im Namen eines von ihm gehackten Unternehmens E-Mails mit Payloads an Firmenkontakte schicken. Wie eine Attacke im Detail ablaufen kann, führen Sicherheitsforscher von Trend Micro in einem Beitrag aus.
Quelle: Jetzt patchen! Angreifer haben Lücke in Microsoft Exchange Server im Visier | heise online
Update 10.03.2020:
NSA warnt vor Angriffen auf Exchange-Lücken
Die Schwachstelle hatte Microsoft im Februar geschlossen. Admins sollten die Patches so schnell wie möglich einspielen, da die Exchange-Schwachstellen bereits aktiv ausgenutzt werden.
Die Nationale Sicherheitsbehörde der USA (NSA) warnt über Twitter vor Sicherheitslücken in Microsoft Exchange Server. Hierbei handelt es sich um die Schwachstelle CVE-2020-0688, die es potenziellen Angreifern ermöglicht, Befehle auf anfälligen Microsoft Exchange-Servern mit Hilfe von E-Mail-Anmeldeinformationen auszuführen.
Microsoft hat für die RCE-Sicherheitslücke im Rahmen des Februar-2020-Patches Patches für die betroffenen Produkte veröffentlicht. Die Schwachstelle wird bereits aktiv ausgenutzt. Die Sicherheitsfirma Volexity registriert seit Ende Februar entsprechende Aktivitäten. Eine Quelle des US-Verteidigungsministeriums (DoD) bestätigte auf Anfrage von ZDNet USA die laufenden Angriffe, ohne die dahinterstehendenen Akteure zu nennen.
Laut des Entdeckers der Schwachstelle, Simon Zuckerbraun von der Zero Day Initiative, „könne jeder externe Angreifer, der das Gerät oder die Anmeldeinformationen eines beliebigen Unternehmensbenutzers kompromittiert, den Exchange-Server übernehmen“.
„Nachdem er dies erreicht hat, würde ein Angreifer in die Lage versetzt, die E-Mail-Kommunikation des Unternehmens nach Belieben zu verbreiten oder zu fälschen“, fügte er hinzu. „Dementsprechend sollten Sie als Exchange Server-Administrator diesen Patch als Patch mit kritischer Bewertung behandeln und ihn bereitstellen, sobald ihre Tests abgeschlossen sind.
Die aktiv ausgenutzte Sicherheitslücke wurde in der Exchange Control Panel (ECP)-Komponente gefunden und wird dadurch verursacht, dass Exchange bei der Installation keine eindeutigen kryptografischen Schlüssel erstellt hat. Das bedeutet, dass alle Microsoft Exchange-E-Mail-Server, die in den letzten 10+ Jahren veröffentlicht wurden, identische kryptografische Schlüssel (validationKey und decryptionKey) für das Backend ihres Control Panels verwenden.
Quelle: NSA warnt vor Angriffen auf Exchange-Lücken | ZDNet.de