Auch wenn Angreifer schon seit Ende Februar Ausschau nach verwundbaren Exchange Servern halten, haben viele Admins offensichtlich noch nicht gepatcht.

Microsofts Groupware- und E-Mail-Transport-Server Exchange Server ist in verschiedenen Versionen über eine Sicherheitslücke (CVE-2020-0688) angreifbar. Nun haben Sicherheitsforscher von Rapid7 herausgefunden, dass mehr als 350.000 über das Internet erreichbare Exchange Server trotz verfügbarer Sicherheitsupdates immer noch verwundbar sind.

Seit Ende Februar scannen Angreifer aktiv nach angreifbaren Systemen. Auch wenn Microsoft in einem Beitrag die Patches nur als „wichtig“ einstuft, sollten Admins spätestens jetzt reagieren und ihre Exchange Server aktualisieren.

Geschieht dies nicht, könnten authentifizierte Angreifer Schadcode mit System-Rechten ausführen. In so einem Fall gelten Server als vollständig kompromittiert und Angreifer hätten beispielsweise Zugriff auf E-Mails oder das Active Directory.

Während ihrer Untersuchungen entdeckten die Sicherheitsforscher 433.464 Exchange Server, die über den Outlook-Web-App-Service (OWA) über das Internet erreichbar sind. Davon sind ihnen zufolge mindestens 357.629 noch nicht gepatcht. In einem Beitrag führen sie aus, dass der Patch von Microsoft die Build-Nummer wohl nicht immer verlässlich aktualisiert und so das Auslesen von verwundbaren Servern erschwert.

Der Scan förderte aber noch weitere bedenklich Zahlen zutage: Demzufolge wurden 31.000 Exchange 2010 Server seit 2012 nicht aktualisiert. 800 Exchange 2010 Server wurden noch nie gepatcht. Darüber hinaus stießen die Sicherheitsforscher noch auf fast 11.000 Exchange 2007 Server. Da der Support für diese Version seit 2017 ausgelaufen ist, gibt es seitdem keine Sicherheitsupdates mehr.

Sicherheitsupdates für Microsoft Exchange Server:

Microsoft Exchange Server 2010 Service Pack 3 Update Rollup 30
Microsoft Exchange Server 2013 Cumulative Update 23
Microsoft Exchange Server 2016 Cumulative Update 15
Microsoft Exchange Server 2019 Cumulative Update 4