Angreifer haben derzeit abermals auf Microsoft
Exchange Server abgesehen. Sie platzieren nach erfolgreichen
Attacken Hintertüren in Systemen, kopieren Geschäftsinterna
und verschlüsseln Daten mit der Conti-Ransomware. Seit April
sind Sicherheitspatches für Exchange Server verfügbar.
Sicherheitsforscher von Sophos haben laut
einem Bericht Attacken beobachtet, bei denen sich Angreifer
nach dem Ausnutzen der als kritisch eingestuften ProxyShell
getauften Lücken (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207)
systematisch in Netzwerken ausbreiten und Schadcode installieren.
Haben die Angreifer durch Kombinieren der Schwachstellen es erst
einmal auf einen Exchange Server geschafft, können sie Systeme
aus der Ferne attackieren, die Authentifizierung umgehen, sich erhöhte
Nutzerrechte verschaffen und eigenen Code ausführen.
Innerhalb von wenigen Tagen haben die Angreifer laut den Forschern
sieben Backdoors für spätere Zugriffe im System hinterlassen.
Darüber hinaus haben sie 1 Terabyte Daten kopiert und die Conti-Verschlüsselungstrojaner
eingesetzt.
Admins können unter /autodiscover/autodiscover.json Logdateien
nach etwa unbekannten E-Mail-Adresse durchsuchen, um Angriffsversuche
zu erkennen. Adressen mit @evil.corp sollen im aktuellen Fall vorkommen.
Die HEDV rät dringend, dass Admins die Sicherheitspatches
auf ihre Exchange Server aufspielen, sollte dies noch nicht passiert
sein. Das von den Lücken ausgehende Risiko ist sehr hoch. Schon
seit rund einem Monat nutzen Angreifer die ProxyShell-Schwachstellen
aktiv aus.
(ts, hannover)
(siehe auch: Heise-News-Ticker)
Hannover · EDV-Beratung ·
Linux · Novell · Microsoft · Seminar ·
IT-Consult · Netzwerk · LPIC · CLE
|