Bericht: 92 Prozent der Microsoft Exchange-Server sind jetzt vor ProxyLogon geschützt
Microsoft berichtet, dass rund 92 Prozent aller Microsoft Exchange Server jetzt aktualisiert und vor der ProxyLogon-Sicherheitsanfälligkeit geschützt sind, von der der Dienst sowie die Sicherheitsforschungs- und Reaktionsteams seit Wochen betroffen sind.
Die Zahl der nicht gepatchten Microsoft Exchange-Server liegt bei rund 30.000, verglichen mit einem Höchststand von rund 400.000.
Riesige Reduzierung anfälliger Microsoft Exchange Server
Eine genaue Gesamtzahl an anfälligen Microsoft Exchange-Servern ist nicht bekannt.
Am 2. März, als Microsoft seine ersten Sicherheitspatches veröffentlichte, waren rund 400.000 Exchange Server für die ProxyLogon-Sicherheitsanfälligkeit anfällig. Eine Woche nach dem Start und der Implementierung der Sicherheitspatches am 9. März war diese Zahl auf rund 100.000 nicht gepatchte Server gesunken.
Aus dem neuesten Bericht von Microsoft geht hervor, dass noch weniger als 30.000 anfällige Exchange-Server vorhanden sind.
Unsere Arbeit geht weiter, aber wir sehen eine starke Dynamik für lokale Exchange Server-Updates:
• 92% der weltweiten Exchange-IPs sind jetzt gepatcht oder gemindert.
• 43% Verbesserung weltweit in der letzten Woche. pic.twitter.com/YhgpnMdlOX– Sicherheitsantwort (@msftsecresponse) 22. März 2021
Seit diesem Tweet ist die Anzahl wahrscheinlich weiter gesunken.
Microsoft hat wesentliche Schritte unternommen, um die anfälligen Microsoft Exchange-Server angesichts der anhaltenden ProxyLogon-Sicherheitsanfälligkeit zu schützen. Das Exchange On-Premises Mitigation Tool (EOMT) ist beispielsweise ein ProxyLogon-Patch-Tool mit einem Klick, mit dem Microsoft Exchange Server-Kunden ihre Infrastruktur schneller sichern können.
Microsoft hat außerdem ein automatisches Patch-Tool Microsoft Defender hinzugefügt. Laut einem Beitrag im offiziellen Microsoft Security-Blog werden Kunden, die Microsoft Defender Antivirus und System Center Endpoint Protection verwenden, "CVE-2021-26855 auf jedem anfälligen Exchange Server, auf dem es bereitgestellt wird, automatisch verringern ".
Ist dies das Ende von ProxyLogon?
ProxyLogon war ein ernstes Problem für die Exchange Server-Kunden von Microsoft. Der Angriff hat Zehntausende von Servern betroffen, die Unternehmen aller Formen und Größen abdecken.
Die ProxyLogon-Sicherheitsanfälligkeit hat vier Zero-Day-Exploits zum Angriff auf Microsoft Exchange-Server zusammengefasst. Nach der Aufdeckung der Sicherheitsanfälligkeit meldeten mehrere Branchen auf der ganzen Welt einen Anstieg der Angriffe. Microsoft Exchange Server-Kunden meldeten Cryptocurrency-Mining-Malware, verschiedene Arten von Ransomware, Web-Shells und mehr, die von böswilligen Parteien bereitgestellt wurden.
In einem Blogbeitrag von ESET Research wurde festgestellt, dass Microsoft Exchange Server von "mindestens 10 APT-Gruppen [Advanced Persistent Threat]" angegriffen wurden, die alle versuchten, die Sicherheitsanfälligkeit zu nutzen.
Wir haben festgestellt, dass die Sicherheitslücken von anderen Bedrohungsakteuren genutzt wurden, angefangen bei Tick bis hin zu LuckyMouse, Calypso und der Winnti Group. Dies deutet darauf hin, dass mehrere Bedrohungsakteure vor der Veröffentlichung des Patches Zugriff auf die Details der Sicherheitsanfälligkeiten erhalten haben. Dies bedeutet, dass wir die Möglichkeit verwerfen können, dass sie einen Exploit durch Reverse Engineering von Microsoft-Updates erstellt haben.
Die ProxyLogon-Sicherheitsanfälligkeit ist noch nicht ganz vorbei. Es gibt immer noch mehr als 20.000 anfällige Microsoft Exchange Server, aber Kunden und Sicherheitsfirmen werden gleichermaßen hoffen, dass das Ende in Sicht ist.