Exchange Server jetzt patchen: Angreifer suchen aktiv nach neuer Lücke

Admins sollten ihre Exchange Server zügig aktualisieren. Nachdem Forscher einen neuen Angriff vorgestellt haben, probieren Angreifer ihn offenbar gezielt aus.

Microsoft Exchange Server ist ein beliebtes Angriffsziel für IT-Kriminelle. Der Mailserver ist weit verbreitet in Unternehmen und Behörden und immer wieder Einfallstor in deren Netze. In der vergangenen Woche stellte der Sicherheitsforscher Orange Tsai auf der Konferenz Black Hat 2021 neue Angriffe auf die Software vor. Nur wenige Tage später wird offenbar gezielt nach der Lücke gesucht, wie Betreiber von Honeypots beschreiben. Admins sollten die Server umgehend mit allen bereitstehenden Updates versorgen. Die Updates sind schon vor Monaten erschienen und schließen die Lücken.

Mehrere Probleme musste Orange Tsai kombinieren, wie er in seinem Vortrag beschreibt, um als unauthentifizierter Nutzer von außen Zugriff zu bekommen und sich mit mehr Rechten auszustatten. Die Schwachstelle lag im Client Access Service (CAS) von Exchange. Der wickelt eingehenden Verkehr für verschiedene Protokolle ab. Das offene Tor war die Autodiscover-Funktion. Über die Autodiscover-Datei rufen Mail-Clients bei der Einrichtung Details zum Server ab und ersparen dem Nutzer so, Serveradresse, Port und weitere Details abzutippen.

Quelle / weitere Informationen: heise.de