Déjà-vu wegen "ProxyNotShell"

Schweizer Admins schlafen - 2800 Server warten auf Sicherheitsupdate

Uhr
von Coen Kaat und jor

Seit September ist eine schwere Sicherheitslücke in Microsofts Exchange-Servern bekannt. Seit Anfang November gibt es einen Patch dafür. Trotzdem sind 2800 Systeme in der Schweiz weiterhin verwundbar. Beim NCSC werden Erinnerungen an eine andere Exchange-Schwachstelle wach.

(Source: Vladyslav - stock.adobe.com)
(Source: Vladyslav - stock.adobe.com)

Das Nationale Zentrum für Cybersicherheit (NCSC) erlebt wohl ein gewisses Déjà-vu. Das Kompetenzzentrum fordert derzeit die Betreiber von Microsoft-Exchange-Servern auf, ihre Systeme zu patchen.

Konkret geht es um die Schwachstelle "ProxyNotShell". Diese ist seit September 2022 bekannt und wird bereits aktiv von Cyberkriminellen ausgenutzt. Am 8. November veröffentlichte Microsoft einen Patch, der die Sicherheitslücke schliesst.

Und trotzdem: Zwei Wochen nach der Veröffentlichung des Patches gibt es gemäss dem NCSC noch immer 2800 über das Internet erreichbare Server, die weiterhin verwundbar sind. Angreifern wäre es also möglich, "ProxyNotShell" auszunutzen, beliebigen Code aus der Ferne auszuführen und die Server zu kompromittieren. Die Betreiber riskieren also Ransomware-Attacken, einen Datendiebstahl oder vergleichbare Cyberangriffe.

Erinnerungen werden wach

Die aktuelle Lage erinnert an die Situation im Frühjahr 2021. Damals hatte Microsoft ebenfalls ein Sicherheitsupdate für seine Exchange-Server veröffentlicht. Die damit adressierte Schwachstelle war laut dem NCSC von einem ähnlichen Ausmass wie die aktuelle Sicherheitslücke.

Das NCSC informierte daraufhin betroffene Unternehmen per Einschreiben darüber. In manchen Fällen mehrmals: Im März dieses Jahres kontaktierte das NCSC erneut 130 Schweizer Unternehmen, um sie über die Sicherheitslücke zu informieren.

Und trotzdem: Mindestens ein Unternehmen reagierte nicht auf die Warnungen und wurde anschliessend Opfer einer Ransomware, wie das NCSC im April schilderte.

Was jetzt zu tun ist

Das NCSC empfiehlt den Betreibern von Microsoft-Exchange-Servern, sicherzustellen, dass sämtliche Patches eingespielt sind. Microsoft stellt online ein Tool namens "HealthChecker" zur Verfügung, mit dem man die Server überprüfen kann. Zudem sollen die Betreiber ihre Server mit einem aktuellen Virenschutz scannen. Schliesslich empfiehlt das NCSC auch, die eigene Patch-Strategie zu prüfen und sicherzustellen, dass kritische Sicherheitsupdates auch ausserhalb der üblichen Wartungsfenster eingespielt werden.

Das NCSC kündigte zudem an, dass es Unternehmen, welche die nötigen Patches bis Anfang Dezember 2022 noch nicht eingespielt haben, wiederum per Einschreiben direkt benachrichtigen werde. Sofern diese identifizierbar sind.

Mehr Informationen zur "ProxyNotShell"-Schwachstelle und zum entsprechenden Sicherheitsupdate bietet Microsoft auf seiner Website.

Wenn Sie mehr zu Cybersecurity und Datenschutz lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.

Webcode
DPF8_275262