Anzeige

Update

Derzeit werden tausende Microsoft Exchange Server mit Updates gepatcht. Die Sicherheitslücken, die in den vergangenen Wochen zuhauf beispielsweise von der Hackergruppe Hafnium ausgenutzt wurden, sollten damit behoben sein – für die betroffenen Unternehmen eigentlich ein Grund aufzuatmen, oder?

Falsch, warnt Microsoft, denn kriminelle Hacker könnten sich unbemerkt in bereits kompromittierten Netzwerken festgesetzt haben. Mögliche Folgeangriffe sind daher nicht ausgeschlossen, insbesondere dann, wenn die Exchange Server bei der ursprünglichen Attacke mittels Web-Shell-Skript gekapert oder dabei Anmeldedaten erbeutet wurden.

92 Prozent der für die Angriffe anfälligen Exchange Server gepatcht

Wie Microsoft in der vergangenen Woche mitteilte, sind mittlerweile 92 Prozent der für die Angriffe anfälligen Exchange Server gepatcht oder es wurden andere Sicherheitsvorkehrungen getroffen, um ein Eindringen von außen zu verhindern. Das sind zwar an sich gute Nachrichten, einer Untersuchung der Sicherheitsexperten von F-Secure zufolge wurden vorher allerdings bereits zehntausende Exchange Server kompromittiert. Genau diesen Unternehmen gilt Microsofts Warnung, denn ein eingespielter Patch entfernt nicht unbedingt die Eindringlinge, falls diese sich bereits im System festgesetzt haben.

In seinem Blog schreibt das Team von Microsoft 365 Defender Threat Intelligence, dass bei vielen der kompromittierten Systeme noch keine sekundäre Aktion, wie eine Ransomware-Attacke oder ein Datenklau, stattgefunden habe. Das deute darauf hin, dass die Angreifer sich einen Zugang verschafft haben, den sie sich für potenzielle spätere Aktionen offenhalten wollen.

Für Systemadministratoren der betroffenen Exchange Server bedeutet das, dass sie besonders vorsichtig sein müssen und Maßnahmen ergreifen sollten, um potenziellen Eindringlingen das Leben so schwer wie möglich zu machen. Dazu gehört beispielsweise ein strikter Gebrauch des Prinzips des geringstmöglichen Privilegs. Nutzer sollten also nur so viele Rechte eingeräumt bekommen, wie sie für die Erledigung ihrer Arbeit unbedingt brauchen. Dazu gehören auch Serviceaccounts für automatische und terminierte Aufgaben wie Back-ups, die meistens mit einer ganzen Reihe an Rechten ausgestattet sind und deren Zugangsdaten nur selten geändert werden. Sie könnten von Kriminellen missbraucht werden, die diese Daten beim ursprünglichen Angriff erbeutet haben. Außerdem sollten sich Nutzer auch nur in den Bereichen des Netzwerks bewegen können, zu denen sie Zugang benötigen.

Ein weiteres Risiko für Exchange Server sind böswillige Mining-Programme, die Kryptowährungen schürfen. Ein Beispiel hierfür ist das Lemon Duck Botnet, das dabei beobachtet wurde, wie es verwundbare Exchange Server ausgenutzt hat. Interessanterweise haben die Hintermänner des Botnets dabei den Zugriff anderer Hackergruppen auf den entsprechenden Exchange Server entfernt, damit nur noch ihre eigene Hintertür besteht. Das schützt jedoch nicht vor anderer Malware, denn wie Microsoft warnt, wurde auch Lemon Duck bereits für die Verbreitung weiterer Schädlinge genutzt.

Weitere Informationen:

Für Systemadministratoren hat Microsoft in seinem Blog aufgelistet, welche Indizien auf mögliche Eindringlinge hinweisen.

www.8com.de
 


Weitere Artikel

TikTok

TikTok LIVE-Betrug: Gestohlenes Live-Filmmaterial mißbraucht

Tenable deckt heute auf: Gestohlenes Videomaterial von Prominenten, Content-Erstellern und anderen wird von Betrügern ausgenutzt, indem sie die LIVE-Funktion von TikTok missbrauchen, eine Funktion, die für TikTok-Benutzer bestimmt ist, die mindestens 1.000…
Deepfakes

Deepfakes - Manipulationen als Gefahr

Wie lässt sich prüfen, ob Informationen echt und vertrauenswürdig sind – gerade solche, die über das Internet oder die Sozialen Medien verbreitet werden?
Identität

Rootkits: neuer Trend bedroht Online-Gamer

Die Experten der Bitdefender-Labs haben mit FiveSys ein neues Rootkit identifiziert, welches eine eigene, von Microsoft ausgegebene und gültige digitale Signatur verwendet, anstatt gestohlene Signaturen zu missbrauchen.
Supply Chain

Größter deutscher Versicherer warnt vor Hackerattacken auf globale Lieferketten

Der zur Allianz gehörende Industrieversicherer AGCS warnt vor steigender Zahl von Onlineerpressungsangriffen auf die stockenden globalen Lieferketten wie unter anderem heise und die ZEIT berichteten.
Exploit

Hacker nutzen Zero-Day-Schwachstelle aus

HP analysiert in seinem neuesten HP Wolf Security Threat Insights Report reale Cybersecurity-Angriffe, die durch die Isolierungs-Tools von HP Wolf Security entdeckt wurden.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.