16.03.2021 14:40
Aktuelle Zahlen zu den Exchange Schwachstellen in Österreich
TL;DR
-
1074 Exchange Server nach wie vor ungepatched (Stand: 2021-03-16). Nach den ersten aktiven Scans zwischen dem 9. und 12. März waren es noch 2236.
-
Bisher wurden 465 Webshells von Shadowserver und Kryptos Logic in Österreich gefunden.
-
Die initiale Patch-Disziplin war anscheinend hoch.
-
Wenn möglich, Microsofts Script unter https://github.com/microsoft/CSS-Exchange/tree/main/Security#exchange-on-premises-mitigation-tool-eomt zum Finden und Mitigieren von Webshells einsetzen.
Details
Am 5. März haben wir einige initiale Ergebnisse zu potentiell verwundbaren Microsoft Exchange Servern in Österreich veröffentlicht.1 Die damals durchgeführten Auswertungen basierten auf Suchergebnissen von Shodan und einer passiven Methode: Dabei werden potentiell verwundbare Server anhand des Versionsstrings identifiziert, der aus dem HTML ausgelesen werden kann, das OWA retourniert. Das führte wenig überraschend dazu, dass alle Instanzen als potentiell verwundbar eingestuft wurden, da die Notfallpatches diesen String nicht veränderten. Dennoch war das Ergebnis ein hilfreicher Indikator, um das Ausmaß des Problems einschätzen zu können.2
Ebenfalls am 5. März hat Microsoft aber auch ein nmap Script auf GitHub veröffentlicht, mit dessen Hilfe aktiv überprüft werden kann, ob bei einem Server die Updates eingespielt wurden oder nicht. Da hier ein einziger HTTP GET Request abgesetzt wird und lediglich ein Header der Response auf das Vorhandensein des Strings localhost geprüft wird, ist diese Methode hinreichend ungefährlich, sodass wir sie in unsere Scans der letzten Wochen aufgenommen haben.3
Am 14. und 15. März haben wir außerdem Informationen zu 465 IP Adressen ausgeschickt, die laut Scans von Shadowserver und Kryptos Logic von Webshells betroffen waren.4
Unsere Liste an verwundbaren IP Adressen wurde von uns nach der Logik des Microsoft nmap Skripts verifiziert und setzt sich zusammen aus:
-
Solchen, die wir über Shodan identifiziert haben
-
Allen IP Adressen zu MX-Einträgen von
.atDomains -
IP Adressen, die wir von externen ResearcherInnen zugespielt bekamen
Daraus ergab sich eine Gesamtliste von 2236 verwundbaren IP Adressen in Österreich, deren BetreiberInnen wir informierten. In der Folge haben wir diese Adressen für Re-Scans herangezogen, dabei aber auch gegengecheckt, ob wir via Shodan neue verwundbare Adressen finden.
Unser letzter aktiver Scan über diese Liste am 16. März klassifizierte 1074 davon als nach wie vor ungepatched. Von einer weiteren Aussendung haben wir derzeit abgesehen, da es aus unserer Sicht kaum sinnvoll ist, mehr als einmal innerhalb von sieben Tagen Betroffene zu kontaktieren.
-
Siehe https://cert.at/de/aktuelles/2021/3/microsoft-exchange-server-von-neuen-und-alten-schwachstellen.↩
-
False Positives sind aber auch hier nicht auszuschließen, wie im oben verlinkten Post von uns erläutert wird.↩
-
Siehe dazu https://cert.at/de/services/statistic-survey/#cve-2021-26855.↩
-
Siehe dazu https://www.shadowserver.org/news/shadowserver-special-reports-exchange-scanning-4/.↩