ProxyNotShell ist der Sammelbegriff für zwei kritische Sicherheitslücken in Microsoft Exchange Server:
Werden beide Schwachstellen kombiniert ausgenutzt, können Angreifer beliebigen Code auf dem Zielserver ausführen und ihre Berechtigungen bis hin zur vollständigen Systemkontrolle ausweiten. Betroffen sind Microsoft Exchange Server 2013, 2016 und 2019.
„ProxyNotShell-Angriffe wurden bereits seit September 2022 in freier Wildbahn entdeckt – Monate bevor Microsoft einen offiziellen Patch veröffentlichte."
Laut aktuellen Daten der Shadowserver Foundation – einer gemeinnützigen Organisation zur Verbesserung der Internetsicherheit – waren Mitte Dezember 2022 noch 83.946 Exchange-Instanzen als anfällig eingestuft. Bis zum 2. Januar 2023 sank diese Zahl auf 60.865 Server – ein Rückgang, der zeigt, dass das Patching läuft, aber bei Weitem noch nicht abgeschlossen ist.
Erschwerend kommt hinzu: Viele dieser Server sind nicht nur für ProxyNotShell anfällig, sondern auch für die älteren Schwachstellen ProxyShell und ProxyLogon, die bereits 2021 zu den meistgenutzten Angriffsvektoren weltweit zählten.
Microsoft hat im Patch Tuesday im November 2022 Sicherheitsupdates für ProxyNotShell veröffentlicht und zusätzlich temporäre Eindämmungsmaßnahmen bereitgestellt. Das Problem: Diese Workarounds können von Angreifern aktiv umgangen werden.
Aktuelle Untersuchungen zeigen, dass Ransomware-Gruppen bereits eine neue Exploit-Kette einsetzen, um die URL-Rewrite-Maßnahmen zu umgehen und über Outlook Web Access (OWA) Remote Code Execution auf ungepatchten Servern zu erlangen.
Fazit: Nur vollständig gepatchte Server bieten zuverlässigen Schutz. Temporäre Maßnahmen sind keine ausreichende Absicherung.
Exchange-Server stehen nicht zufällig im Fokus von Cyberkriminellen. Sie verarbeiten unternehmenskritische Kommunikation und sind häufig direkt aus dem Internet erreichbar – eine gefährliche Kombination.
Ein konkretes Beispiel: Die finanziell motivierte Cybercrime-Gruppe FIN7 hat eine eigene automatisierte Angriffsplattform namens Checkmarks entwickelt, die gezielt nach Exchange-Schwachstellen sucht – darunter CVE-2021-34473, CVE-2021-34523 und CVE-2021-31207 – und diese vollautomatisch ausnutzt.
„Exchange-Server sind keine Zufallsziele – sie sind das bevorzugte Einfallstor organisierter Cyberkriminalität."
Der Wechsel in die Cloud beseitigt das Problem ungepatchter On-Premise-Server grundsätzlich. Microsoft übernimmt dabei Sicherheitsupdates und Infrastrukturpflege. In der Praxis zeigt sich jedoch, dass eine Migration sorgfältige Planung erfordert: Die Administration von Microsoft 365 unterscheidet sich erheblich von der eines selbst betriebenen Exchange Servers. Eine fachkundige Begleitung durch erfahrene Experten ist empfehlenswert.
Sie erhalten die volle Exchange-Funktionalität auf einem dedizierten Server – ohne sich um Betrieb, Überwachung oder Wartung kümmern zu müssen. ITcares übernimmt das vollständig als Managed Service:
Über den reinen Serverbetrieb hinaus bietet ITcares einen mehrschichtigen Schutz für Ihre gesamte E-Mail-Infrastruktur – nach dem „Best of Breed"-Prinzip, also mit den jeweils führenden Technologien je Schutzebene:
„E-Mail-Sicherheit ist keine einmalige Maßnahme – sie ist ein kontinuierlicher Prozess, der mit der Bedrohungslage Schritt halten muss."
Zehntausende Exchange-Server weltweit sind noch immer angreifbar – obwohl Patches längst verfügbar sind. Die Ursache ist häufig dieselbe: überlastete IT-Teams, fehlende Prozesse und mangelnde Übersicht über den aktuellen Patch-Stand der eigenen Infrastruktur.
Wer jetzt nicht handelt, riskiert nicht nur Datenverluste und Betriebsunterbrechungen – sondern auch erhebliche Haftungsrisiken im Rahmen der DSGVO.
ITcares-Kunden sind bereits abgesichert. Wenn Sie wissen möchten, wie auch Ihr Unternehmen dauerhaft geschützt werden kann, sprechen Sie uns unverbindlich an. Wir analysieren Ihre Exchange-Umgebung und empfehlen den für Sie optimalen Schutzweg – damit Sie sich auf Ihr Kerngeschäft konzentrieren können.