Angriffe auf Exchange-Server – Microsoft stellt Prüf-Skript für Admins bereit
Sicherheitslücken im Exchange-Server ziehen derzeit Angriffe hinauf sich. Microsoft stellt ein Skript parat, mit dem Administratoren ihre Systeme prüfen können.
Security Von
- Tilman Wittenhorst
Microsoft Exchange Server enthält mehrere schwerwiegende Schwachstellen, die zwar seit Kurzem per Update geschlossen sind, aber vermehrt von Cyberkriminellen ausgenutzt werden. Der Hersteller bietet Administratoren nun die Möglichkeit, mit einem PowerShell-Skript zu prüfen, ob ein Exchange-Server bereits erfolgreich angegriffen wurde.
PowerShell-Skript bei GitHub bereitgestellt
Auf Microsofts GitHub-Repository 'CSS-Exchange' (betrieben von den 'Support Engineers for Microsoft Exchange Server') steht ein PowerShell-Skript bereit, das einen oder mehrere Exchange-Server auf Spuren untersucht, die ein erfolgreicher Angriff hinterlässt. Darüber berichtet BleepingComputer. Die Schwachstellen samt Updates dazu hatte Microsoft am 2. März publik gemacht – zu diesem Zeitpunkt waren aber bereits Angriffe darauf beobachtet worden (zero day). Kombiniert ein Angreifer die Schwachstellen mit den Bezeichnungen CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 und CVE-2021-27065 miteinander, bezeichnet man diesen Angriff als "ProxyLogon". Er erlaubt das Ausführen von Code aus der Ferne und setzt aktivierten Outlook Web Access voraus (OWA).
Das PS-Skript Test-ProxyLogon.ps1 bei GitHub sucht nach Angriffsmerkmalen, die für ProxyLogon typisch sind. Microsoft hatte die Details dazu bereits in einem Blogpost veröffentlicht, dieses Skript fasst die manuellen Tests jedoch zusammen und macht es Administratoren erheblich einfacher, ihre Exchange-Server zu prüfen. Das Skript durchsucht Exchange-Logs, Exchange-HttpProxy-Logs und Windows-Application-Event-Logs.
Auf einem lokalen Exchange-Server (auf der Exchange Management Shell) gibt das Skript seine Ergebnisse direkt aus:
.Test-ProxyLogon.ps1
Die Ausgabe lässt sich speichern:
.Test-ProxyLogon.ps1 -OutPath $homedesktoplogs
Wer mehrere Exchange-Server betreibt, kann alle Systeme zugleich untersuchen (und das Ergebnis speichern):
Get-ExchangeServer | .Test-ProxyLogon.ps1 -OutPath $homedesktoplogs
Updates einspielen!
Exchange-Administratoren sollten die Schwachstellen sofort durch das Einspielen der neuesten Updates schließen und ihre Systeme möglichst auch mit diesem Skript auf einen Angriff untersuchen. Das Ausmaß der bereits erfolgten Angriffe ist offenbar erheblich, Schätzungen gehen von mehreren zehntausend Systemen in Deutschland aus, die zumindest angreifbar sind und wahrscheinlich schon angegriffen wurden. Das BSI warnt vor einem Fiasko für die IT-Security und rät eindringlich dazu, tätig zu werden.
Siehe dazu auch:
- Microsoft Test-ProxyLogon: Download sicher und schnell von heise.de
(tiw)
Quelle: www.heise.de