IT-Teams, die Microsoft Exchange-Server betreiben (öffnet sich in neuem Tab) sind beim Patchen ihrer Endpunkte sehr langsam, was dazu führt, dass Tausende von Geräten immer noch anfällig für einige schwerwiegende Fehler sind.
Dies geht aus einem neuen Bericht von CyberNews hervor, dem zufolge mehr als 85.000 Server immer noch mehreren RCE-Schwachstellen (Remote Code Execution) ausgesetzt sind, nämlich CVE-2023-21529, CVE-2023-21706 und CVE-2023-21707.
In dem Bericht werden die Schwachstellen als „extrem gefährlich“ beschrieben, da sie es den Bedrohungsakteuren ermöglichen können, bösartigen Code auszuführen und die Posteingänge und E-Mail-Nachrichten von Personen auf den Servern zu kompromittieren.
Die Drohung ignorieren
Die Mängel wurden Mitte Februar 2023 entdeckt und Microsoft veröffentlichte schnell einen Patch, um das Problem zu beheben.
Allerdings müssen viele IT-Teams diese Patches noch anwenden, heißt es. Laut Daten der Shadowserver Foundation lag die Zahl der anfälligen Server im Februar tatsächlich bei 87.000, was bedeutet, dass die überwiegende Mehrheit der IT-Teams diese Sicherheitsbedrohung im Grunde ignorierte und sich einfach dazu entschied, das Update nicht anzuwenden.
Die Forscher analysierten rund 250.000 mit dem Internet verbundene Microsoft Exchange-Server und stellten fest, dass genau 85.261 von diesen RCE-Fehlern betroffen waren (34,33 %). Die meisten der anfälligen Server befanden sich in Deutschland – 18.000 davon.
Die USA liegen mit fast 16.000 Servern an zweiter Stelle, gefolgt vom Vereinigten Königreich (3.734), Frankreich (2.959) und Russland (2.775). Besonders interessant waren Russland und China, da Unternehmen in diesen Ländern ältere Versionen von MS Exchange 2016 bevorzugten, „obwohl in den Releases 2019 und 2013 noch neuere Versionen verwendet wurden“, so die Forscher.
Die Auswirkungen seien „ungefähr gleich“, aber die Schwachstellen seien unterschiedlich.
Während es schwierig ist zu bestimmen, wer diese Schwachstellen ausnutzen könnte und zu welchem Zweck, betont Cybernews, dass „ähnliche Schwachstellen“ in der Vergangenheit von staatlich geförderten russischen Akteuren aufgedeckt wurden. In der Veröffentlichung wird behauptet, dass diese Schwachstellen denjenigen nicht unähnlich seien, die die GRU im Jahr 2020 für groß angelegte Angriffe auf Regierungsbehörden, Unternehmen und Organisationen nutzte.
Über: Cybernews