Die Schwachstellen in Exchange-Servern werden aktuell auch zur Installation und Ausführung von Kryptomining-Schadsoftware ausgenutzt - so das Computer-Notfallteam (CERT Bund) des Bundesamts für Sicherheit in der Informationstechnik (BSI). Die Schadsoftware DLTMiner sei in Deutschland "auf mindestens 600 Exchange-Servern" entdeckt worden, wobei es sich sowohl um noch verwundbare, als auch bereits gepatchte Server, die bereits vor dem Update befallen wurden, handele.

In Deutschland seien laut CERT Bund noch etwa 12.000 von 56.000 Exchange-Servern angreifbar. Die entsprechenden Systeme sollten sofort aktualisiert werden. Zudem rät das BSI Administratoren, auch gepatchte Server auf eine bereits erfolgte Kompromittierung zu untersuchen.

Taiwanische Sicherheitsexperten hatten bereits im Dezember eine bis zu diesem Zeitpunkt unbekannte Schwachstelle im Exchange-Server gefunden und zudem einen Exploit nachgewiesen. Der Exploit erlaubt Angreifern den administrativen Zugang zum Server. Bei der Entdeckung wurden die Sicherheitslücken bereits aktiv ausgenutzt - die Angreifer haben nach Ankündigung eines Patches durch Microsoft dann einen groß angelegten Angriff gestartet und Hintertüren auf den Systemen installiert.

Laut Microsoft und Sicherheitsexperten sei eine Gruppe mit dem Namen "Hafnium" für die Angriffe verantwortlich. Andere Gruppierungen haben jedoch schnell ebenfalls mit Angriffen gestartet. Neben der nun entdeckten Ausnutzung zur Installation von Krypromining-Schadsoftware sowie der Cyberspionage, kam es auf betroffenen Systemen auch schon zur Installation von Ransomware.

(jb, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE