Heute wurden erneut Angriffe auf Exchange-Server entdeckt. Hierbei wurde eine Sicherheitslücke in den Exchange-Server Versionen 2016 und 2019. Im Angriffszenario war möglich, dass eine Antwort auf eine beliebige E-Mail initiiert und der E-Mail auch noch ein kleiner Text mitgegeben werden konnte. Hierzu wurde ein Aufruf über eine offene OWA-Schnittstelle an den Server geschickt.
Der Empfänger der E-Mail erhielt somit eine Antwort auf eine ihm bekannte Mail und einen bekannten Vorgang. Technisch ware die E-Mail damit nicht als schadhaft zu erkennen, also keine Klassifizierung als Spam. Auch die Analyse des E-Mail-Header ergab, dass einzig die IP-Adresse des Clients ungewöhnlich war, von der die Mail initiert wurde: So schien es, dass sich der Absender im Ausland befand. Soweit guckt in der Regel aber kein Anwender.
Lediglich der angehängte Text ließ auf eine nicht vertrauenswürdige Quelle schließen. In schlechtem Deutsch wurden Links zu Bitcoin-Plattformen o.ä. angeboten.
Daraus ergeben sich nun folgende Fragen:
- Konnte der Angreifer bei diesem Angriff Daten abfließen lassen?
Vermutlich konnte er das nicht, da kein Login auf dem Exchange ausgeführt wurde. - Wurde die Mail an den Angreifer geschickt?
Nein, die Mail ging ausschließlich an den ursprünglichen Abesender
Abhilfe schaffen zwei Dinge: Sofortiges Einspielen aller aktuellen Patches für Exchange-Server und das (temporäre) Schließen des Zugangs für OWA. Dieser Angriff zeigt, wie wichtig das regelmäßige Überwachen und vor Allem die Handhabung technischer Schwachstellen in einem Unternehmen ist.
Zum Wiederholten Mal im diesem Jahr wurde damit der Exchange-Server Ziel von Angriffen. Microsoft selbst hat den CVE (Common Vulnerabilities and Exposures) noch nicht veröffentlicht.
[Update 10.11.2021]
Gestern wurde der CVE endlich publik gemacht.
Quellen dazu finden sich bei Microsoft oder bei Civis.net.
Bildquelle: https://pxhere.com/de/photo/1451251
