26.03.2021 16:50

Aktuelle Information zu den ProxyLogon Exchange Schwachstellen in Österreich

TL;DR

  • 254 Exchange Server nach wie vor ungepatcht (Stand: 2021-03-26). Am 18. März waren es noch 839.

  • Von 23. März bis 26.März wurden insgesamt 437 Webshells in Österreich gefunden.

  • Die Patch-Rate hat etwas abgenommen. Wir sehen die übliche exponentielle Abnahme der verwundbaren Systeme.

  • Allerdings dürfte die ab 18. März durch Microsoft Defender automatisch durchgeführte Mitigation seinen Zweck erfüllt haben. (Die Auto-Mitigation wurde nur durchgeführt, wenn das automatische Update von Microsoft Defender aktiviert ist oder die aktuelle Version händisch eingespielt wurde)

  • Wenn möglich, Microsofts Script unter https://github.com/microsoft/CSS-Exchange/tree/main/Security#exchange-on-premises-mitigation-tool-eomt zum Finden und Mitigieren von Webshells einsetzen.

Details

Am 16. März haben wir ein Update zu den Ergebnissen des Scans nach potentiell verwundbaren Microsoft Exchange Servern in Österreich veröffentlicht.1

Am 18. März hat Microsoft bekannt gegeben, dass Microsoft Defender mit aktuellen Definition-Updates automatisch die Schwachstelle CVE-2021-26855 mitigieren wird. Diese Mitigation ist allerdings ausschließlich eine kurze Abhilfe. Die aktuellen Patches für Exchange müssen weiterhin eingespielt werden, um einen vollständigen Schutz zu gewährleisten.2

Zwischen 23. und 26.März haben wir außerdem Informationen zu 437 IP Adressen ausgeschickt, die laut Scans von Shadowserver und Kryptos Logic von Webshells betroffen waren.3

Unsere Liste an verwundbaren IP Adressen wird von uns weiterhin nach der Logik des Microsoft nmap Skripts verifiziert und setzt sich zusammen aus:

  • Solchen, die wir über Shodan identifiziert haben

  • Allen IP Adressen zu MX-Einträgen von .at Domains

  • IP Adressen, die wir von externen ResearcherInnen zugespielt bekamen

Daraus ergab sich eine aktuelle Gesamtliste von 2438 relevanten IP Adressen in Österreich, deren BetreiberInnen wir informierten. In der Folge haben wir diese Adressen für Re-Scans herangezogen.

Am 22. März haben wir, um die Qualität unserer reduzierten Liste zu überprüfen, einen erneuten Gesamtscan über alle IP Adressen (über Shodan, MX-Einträge identifizierte und .at Domains) durchgeführt. Das Delta zu unserer reduzierten Liste waren gerade einmal 2 IP Adressen, so dass wir weiterhin von der Qualität überzeugt sind.
Weiters haben wir wieder eine Aussendung an alle Betroffenen durchgeführt und planen dies in regelmäßigen Abständen zu wiederholen.

Unser letzter aktiver Scan über die reduzierte Liste am 26. März klassifizierte 254 davon als nach wie vor verwundbar.

  1. Siehe https://cert.at/de/aktuelles/2021/3/aktuelle-zahlen-zu-den-exchange-schwachstellen-in-osterreich.

  2. Siehe dazu https://www.microsoft.com/security/blog/2021/03/18/automatic-on-premises-exchange-server-mitigation-now-in-microsoft-defender-antivirus/.

  3. Siehe dazu https://www.shadowserver.org/news/shadowserver-special-report-exchange-scanning-5/.