Angreifer haben derzeit abermals auf Microsoft Exchange Server abgesehen. Sie platzieren nach erfolgreichen Attacken Hintertüren in Systemen, kopieren Geschäftsinterna und verschlüsseln Daten mit der Conti-Ransomware. Seit April sind Sicherheitspatches für Exchange Server verfügbar.

Sicherheitsforscher von Sophos haben laut einem Bericht Attacken beobachtet, bei denen sich Angreifer nach dem Ausnutzen der als „kritisch“ eingestuften ProxyShell getauften Lücken (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207) systematisch in Netzwerken ausbreiten und Schadcode installieren. Haben die Angreifer durch Kombinieren der Schwachstellen es erst einmal auf einen Exchange Server geschafft, können sie Systeme aus der Ferne attackieren, die Authentifizierung umgehen, sich erhöhte Nutzerrechte verschaffen und eigenen Code ausführen.

Innerhalb von wenigen Tagen haben die Angreifer laut den Forschern sieben Backdoors für spätere Zugriffe im System hinterlassen. Darüber hinaus haben sie 1 Terabyte Daten kopiert und die Conti-Verschlüsselungstrojaner eingesetzt.

Admins können unter /autodiscover/autodiscover.json Logdateien nach etwa unbekannten E-Mail-Adresse durchsuchen, um Angriffsversuche zu erkennen. Adressen mit @evil.corp sollen im aktuellen Fall vorkommen.

Die HEDV rät dringend, dass Admins die Sicherheitspatches auf ihre Exchange Server aufspielen, sollte dies noch nicht passiert sein. Das von den Lücken ausgehende Risiko ist sehr hoch. Schon seit rund einem Monat nutzen Angreifer die ProxyShell-Schwachstellen aktiv aus.

(ts, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE