Microsoft drängt die Benutzer, jede Exim-Installation in ihrem Unternehmen zu patchen und sicherzustellen, dass sie auf die neueste Version, Exim Version 4.92, aktualisiert werden.
Microsoft warnt Kunden, dass einige Azure-Installationen für einen kürzlich bekannt gewordenen kritischen Fehler des Linux-Exim-Mail-Servers anfällig sind, der aktiv angegriffen wird.
Die Warnung erfolgt, nachdem am Freitag eine weit verbreitete Wurmkampagne bekannt wurde, die auf einen Fehler im Exim-Mail-Transport-Agent (MTA) abzielt, bei dem es sich um Linux-basierte Mail-Server handelt, die E-Mail-Nachrichten von lokalen Benutzern und entfernten Hosts empfangen, weiterleiten und zustellen. Das Problem plagt jedoch auch Azure-Benutzer: Virtuelle Linux-Maschinen, auf denen Exim-Server laufen, können über das Azure-Portal (eine browserbasierte Benutzeroberfläche zum Erstellen von VMs und den zugehörigen Ressourcen) erstellt werden.
In einer Beratung sagte Microsoft, dass Azure-Kunden, die die anfällige Software verwenden (Azure-Kunden, die virtuelle Maschinen ausführen, die Exim Version 4.87 bis 4.91 verwenden), für den Angriff anfällig sind. Exim Version 4.92 ist nicht anfällig.
"Kunden, die virtuelle Maschinen (VMs) von Azure verwenden, sind für die Aktualisierung der Betriebssysteme, die auf ihren VMs laufen, verantwortlich", sagte JR Aquino, Manager für Azure Incident Response im Microsoft Security Response Center, in einem am Wochenende veröffentlichten Hinweis. "Da diese Schwachstelle aktiv von Wurmaktivitäten ausgenutzt wird, fordert [Microsoft] seine Kunden dringend auf, die besten Praktiken und Muster der Azure-Sicherheit zu beobachten und den Netzwerkzugriff auf VMs, auf denen die betroffenen Versionen von Exim laufen, zu patchen oder einzuschränken.
Ein Angriff verwundbarer Systeme könnte es einem böswilligen Akteur ermöglichen, die Befehlsausführung aus der Ferne zu erlangen, die Kontrolle über die Rechner der Opfer zu übernehmen, das Internet nach anderen Rechnern zu durchsuchen, um diese zu infizieren und eine Kryptominer-Infektion auszulösen.
Microsoft seinerseits sagte, dass es zwar eine "teilweise Entschärfung" anbietet, dass aber anfällige Systeme immer noch betroffen sind, wenn die IP-Adresse eines Angreifers über Netzwerksicherheitsgruppen zugelassen wird. Dies ist eine Liste von Sicherheitsregeln für virtuelle Maschinen, die den Netzwerkverkehr zu Ressourcen, die mit Azure Virtual Networks verbunden sind, zulassen oder verweigern.
"Es gibt eine teilweise Abschwächung für betroffene Systeme, die den Netzwerkverkehr über Netzwerksicherheitsgruppen (Network Security Groups, NSGs) filtern oder blockieren können, so der Ratgeber. "Die betroffenen Systeme können Internet-basierte 'wurmbare' Malware oder fortgeschrittene Malware-Bedrohungen, die die Schwachstelle ausnutzen könnten, abschwächen. Die betroffenen Systeme sind jedoch immer noch anfällig für die Ausnutzung von Remote Code Execution (RCE), wenn die IP-Adresse des Angreifers durch Network Security Groups zugelassen wird.
Der Fehler stammt aus der unsachgemäßen Validierung der Empfängeradresse in der Funktion deliver_message() im Server. Die Schwachstelle (CVE-2019-10149), die einen kritischen Schweregrad von 9,8 von 10 auf der CVSS v3-Skala hat, wurde am 5. Juni in den Exim-Versionen 4.87 bis 4.91 entdeckt.
Besonders angegriffen wird ein Fehler in den Exim-basierten Mailservern, auf denen fast 57 Prozent der E-Mail-Server im Internet laufen; die Forscher sagten, dass derzeit mehr als 3,5 Millionen Server durch die Angriffe, die einen Wurm-Exploit verwenden, gefährdet sind.
Die schiere Anzahl der anfälligen Systeme veranlasst Forscher, Anbieter und mehr Anwender dazu, jede Exim-Installation in ihrer Organisation zu patchen und sicherzustellen, dass sie auf die neueste Version, Exim Version 4.92, aktualisiert wird.
"Die Angreifer haben begonnen, Angriffe auf Exim-Systeme, die für CVE-2019-10149 anfällig sind, zu suchen und mit ihnen zu experimentieren", sagte Satnam Narang, leitender Forschungsingenieur bei Tenable, in einer E-Mail. "Sicherheitsforscher haben aktive Ausbeutung in freier Wildbahn beobachtet, darunter einen Angriff, der zu permanentem Root-Zugriff auf verwundbare Systeme über SSH führt. Für diejenigen, die Exim ausführen, ist es von entscheidender Bedeutung, auf Version 4.92 zu aktualisieren oder den rückportierten Fix auf anfällige Versionen anzuwenden, um den Erfolg dieser neu entdeckten Angriffe zu verhindern.
