Exchange ProxyLogon News: Patch-Stand, neue Ransomware etc. (25.3.2021)

[English]Das Patchen der ProxyLogon-Schwachstellen bei Microsoft On-Premises Exchange-Servern macht Fortschritte (92% sind gepatcht). Heißt aber, dass noch Zehntausende angreifbare Server per Internet erreichbar sind. Inzwischen gibt es neue Black Kingdom-Ransomware, die die Schwachstellen angreift. Hier ein Überblick über das Themenfeld.


Anzeige

92% der Exchange Server sind gepatcht

Microsoft hat am 22. März 2021 auf Twitter die nachfolgende Übersicht über die Situation bei den On-Premises Exchange-Servern im Hinblick auf den Patch-Stand und die ProxyLogon-Schwachstellen veröffentlicht.

92% of Exchange Server patched

Die Kurzfassung: 92% aller On-Premises Exchange-Server sind inzwischen gegenüber ProxyLogon gepatcht. Alleine 43% der Updates wurden letzte Woche installiert. Es bleiben aber immer noch knapp 30.000 angreifbare Exchange-Installationen übrig. Die Kollegen von Bleeping Computer haben diesen Artikel dazu veröffentlicht. Dort findet sich eine Weltkarte mit den Ländern der ungepatchten Systeme veröffentlicht – die USA sind immer noch tief rot.

Von CyberNews habe ich dagegen andere Zahlen erhalten. Die schreiben zum 23. März, dass sie immer noch 62.174 potenziell gefährdete Microsoft Exchange Server gefunden haben. Die meisten davon in den USA (13.877 verwundbare Server), Deutschland (mehr als 9.000), Frankreich (3.389), UK(3.138), Italien (2.877) und Russland (2.517) Server noch ungepatcht. Unklar ist aber, wann die CyberNews-Abfrage erfolgte.

Angriffswelle auf Exchange ebbt ab

Es sieht so aus, als ob die große Angriffswelle auf On-Premises Exchange Server, die wir Anfang März 2021 gesehen haben, langsam abebbt. Mir ist die Tage nachfolgender Tweet von Eset unter die Augen gekommen, der die Zahl der Angriffe grafisch aufzeigt.

Angriffswelle auf Exchange Server

Aktuell (12.3.) gibt es wohl nur noch einige hundert Angriffsversuche pro Tag, die Eset mit seiner Telemetrie erfasst. Heißt aber nicht, dass sich Exchange-Admins und Nutzer zurücklehnen und das Patchen bleiben lassen können.

Neue Ransomware zielt auf ProxyLogon

Die Sicherheitsforscher von Sophos weisen in nachfolgendem Tweet auf eine Black Kingdom getaufte Ransomware hin, die den ProxyLogon-Exploit auf ungepatchten Exchange Servern ausnutzt.


Anzeige

 Exchange: Black Kingdom Ransomware

Details lassen sich in diesem Artikel nachlesen. So legt die Schadsoftware eine Webshell in einem Exchange-Ordner ab.

Ähnliche Artikel:
Exchange-Server 0-day-Exploits werden aktiv ausgenutzt, patchen!
Wichtige Hinweise Microsofts und des BSI zum Exchange-Server Sicherheitsupdate (März 2021)
Exchange-Probleme mit ECP/OWA-Suche nach Sicherheitsupdate (März 2021)
Neues zum Exchange-Hack – Testtools von Microsoft & Co.
Microsoft MSERT hilft bei Exchange-Server-Scans
Exchange-Hack: Neue Patches und neue Erkenntnisse
Anatomie des ProxyLogon Hafinum-Exchange Server Hacks
Exchange-Hack: Neue Opfer, neue Patches, neue Angriffe
Neues zur ProxyLogon-Hafnium-Exchange-Problematik (12.3.2021)
Gab es beim Exchange-Massenhack ein Leck bei Microsoft?
ProxyLogon-Hack: Repository für betroffene Exchange-Administratoren
Microsoft Exchange (On-Premises) one-click Mitigation Tool (EOMT) freigegeben
Sicherheitsupdate für Exchange Server 2013 Service Pack 1 – Neue CUs für Exchange 2019 und 2016 (16.3.2021)
Microsoft Defender schließt automatisch CVE-2021-26855 auf Exchange Server


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

2 Antworten zu Exchange ProxyLogon News: Patch-Stand, neue Ransomware etc. (25.3.2021)

  1. 1ST1 sagt:

    Und Kitploit vermeldet, dass man bei Github einen funktionierenden PoC herunterladen kann, mit dem man die Webshell seiner Wahl auf einen Exchange hochknallen kann, wenn man noch einen finden kann… https://www.kitploit.com/2021/03/proxylogon-poc-exploit-for-microsoft.html

Schreibe einen Kommentar zu krull03 Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.