Angriff auf Microsoft Exchange Server weltweit

Ein entfernter Angreifer kann drei Sicherheitsanfälligkeiten für Remotecodeausführung - CVE-2021-26857, CVE-2021-26858 und CVE-2021-27065 - ausnutzen, um die Kontrolle über ein betroffenes System zu übernehmen, und kann eine Sicherheitsanfälligkeit - CVE-2021-26855 - ausnutzen, um Zugriff auf vertrauliche Informationen zu erhalten. Diese Sicherheitslücken werden aktiv in freier Wildbahn ausgenutzt.

Die betroffenen Versionen sind: 

Microsoft Exchange Server 2013  
Microsoft Exchange Server 2016  
Microsoft Exchange Server 2019
Risikoeinstufung HOCH

Empfohlene Maßnahmen

Aufgrund des kritischen Charakters dieser Schwachstellen empfehlen wir Kunden, die Updates sofort auf den betroffenen Systemen zu installieren, um sich vor diesen Angriffen zu schützen und zukünftigen Missbrauch im gesamten Ökosystem zu verhindern.  Wir empfehlen, die Updates vorrangig auf Exchange-Servern zu installieren, die nach außen gerichtet sind. Letztendlich sollten alle betroffenen Exchange Server aktualisiert werden.

Zu blockierende IOC-IPs:
108[.]61[.]246[.]56
149[.]28[.]14[.]163
157[.]230[.]221[.]198
167[.]99[.]168[.]251
185[.]250[.]151[.]72
192[.]81[.]208[.]169
203[.]160[.]69[.]66
157[.]230[.]221[.]198
103[.]77[.]192[.]219
104[.]140[.]114[.]110
211[.]56[.]98[.]146
5[.]254[.]43[.]18
80[.]92[.]205[.]81

Empfohlen von: https://www.cynet.com/blog/china-chopper-observed-in-recent-ms-exchange-server-attacks/

Weitere Informationen

https://msrc-blog.microsoft.com/2021/03/02/multiple-security-updates-released-for-exchange-server/

https://www.govcert.ch/blog/exchange-vulnerability-2021/?s=09