Anzeige

Update

Derzeit werden tausende Microsoft Exchange Server mit Updates gepatcht. Die Sicherheitslücken, die in den vergangenen Wochen zuhauf beispielsweise von der Hackergruppe Hafnium ausgenutzt wurden, sollten damit behoben sein – für die betroffenen Unternehmen eigentlich ein Grund aufzuatmen, oder?

Falsch, warnt Microsoft, denn kriminelle Hacker könnten sich unbemerkt in bereits kompromittierten Netzwerken festgesetzt haben. Mögliche Folgeangriffe sind daher nicht ausgeschlossen, insbesondere dann, wenn die Exchange Server bei der ursprünglichen Attacke mittels Web-Shell-Skript gekapert oder dabei Anmeldedaten erbeutet wurden.

92 Prozent der für die Angriffe anfälligen Exchange Server gepatcht

Wie Microsoft in der vergangenen Woche mitteilte, sind mittlerweile 92 Prozent der für die Angriffe anfälligen Exchange Server gepatcht oder es wurden andere Sicherheitsvorkehrungen getroffen, um ein Eindringen von außen zu verhindern. Das sind zwar an sich gute Nachrichten, einer Untersuchung der Sicherheitsexperten von F-Secure zufolge wurden vorher allerdings bereits zehntausende Exchange Server kompromittiert. Genau diesen Unternehmen gilt Microsofts Warnung, denn ein eingespielter Patch entfernt nicht unbedingt die Eindringlinge, falls diese sich bereits im System festgesetzt haben.

In seinem Blog schreibt das Team von Microsoft 365 Defender Threat Intelligence, dass bei vielen der kompromittierten Systeme noch keine sekundäre Aktion, wie eine Ransomware-Attacke oder ein Datenklau, stattgefunden habe. Das deute darauf hin, dass die Angreifer sich einen Zugang verschafft haben, den sie sich für potenzielle spätere Aktionen offenhalten wollen.

Für Systemadministratoren der betroffenen Exchange Server bedeutet das, dass sie besonders vorsichtig sein müssen und Maßnahmen ergreifen sollten, um potenziellen Eindringlingen das Leben so schwer wie möglich zu machen. Dazu gehört beispielsweise ein strikter Gebrauch des Prinzips des geringstmöglichen Privilegs. Nutzer sollten also nur so viele Rechte eingeräumt bekommen, wie sie für die Erledigung ihrer Arbeit unbedingt brauchen. Dazu gehören auch Serviceaccounts für automatische und terminierte Aufgaben wie Back-ups, die meistens mit einer ganzen Reihe an Rechten ausgestattet sind und deren Zugangsdaten nur selten geändert werden. Sie könnten von Kriminellen missbraucht werden, die diese Daten beim ursprünglichen Angriff erbeutet haben. Außerdem sollten sich Nutzer auch nur in den Bereichen des Netzwerks bewegen können, zu denen sie Zugang benötigen.

Ein weiteres Risiko für Exchange Server sind böswillige Mining-Programme, die Kryptowährungen schürfen. Ein Beispiel hierfür ist das Lemon Duck Botnet, das dabei beobachtet wurde, wie es verwundbare Exchange Server ausgenutzt hat. Interessanterweise haben die Hintermänner des Botnets dabei den Zugriff anderer Hackergruppen auf den entsprechenden Exchange Server entfernt, damit nur noch ihre eigene Hintertür besteht. Das schützt jedoch nicht vor anderer Malware, denn wie Microsoft warnt, wurde auch Lemon Duck bereits für die Verbreitung weiterer Schädlinge genutzt.

Weitere Informationen:

Für Systemadministratoren hat Microsoft in seinem Blog aufgelistet, welche Indizien auf mögliche Eindringlinge hinweisen.

www.8com.de
 


Weitere Artikel

Hackerangriff

Best of Hacks: Highlights März 2021

Im März rücken unter anderem die Europäische Bankenauf-sichtsbehörde EBA und der PC-Hersteller Acer in den Fokus von Cyberkriminellen. Sicherheitslücken machten zudem unbefugte Zugriffe beim Sicherheitsunternehmen Verkada und bei mehreren Testzentren in…
Hacker Corona

Warnung vor betrügerischer E-Mail Kampagne mit Pfizer-Corona-Impfumfrage

Mit dem vermeintlichen Absender Pfizer und unter dem Vorwand, Umfragen zum Thema Corona-Impfstoffe durchzuführen, haben Betrüger seit April persönliche Daten und möglicherweise auch Geld von mehr als 200.000 Verbrauchern erbeutet.
Bot

Emotet ist tot! ­ Lang lebe Qbot!

Der aktuelle Bedrohungsreport von G DATA zeigt, dass Cyberkriminelle bereits einen Nachfolger für Emotet gefunden haben: Qbot. Bei fast jedem vierten abgewehrten Angriff war die Schadsoftware mit von der Partie. Die Zahlen belegen, dass im ersten Quartal…
Ransomware

Massiver Ransomware-Angriff auf Pipeline-Betreiber

Am Wochenende vermeldeten internationale Medien einen Cyberangriff (Ransomware-Attacke mit einer beute von rund 100 Gigabyte) auf den größten Pipeline-Betreiber in den USA, Colonial Pipeline, der dessen Betrieb lahmlegte.
Phishing

Finanzdienstleister im Visier: 125 Prozent mehr Phishing-Angriffe im Jahr 2020

Lookout, ein Unternehmen für integrierte Endpoint-to-Cloud-Sicherheit, veröffentlicht aktuell einen Bericht, aus dem hervorgeht, dass sich das Risiko für mobiles Phishing bei Finanzdienstleistern und Versicherungen zwischen 2019 und 2020 verdoppelt hat.
Passwortmanagement

Passwörter öffnen Hackern Tür und Tor

Passwort ist gar nicht so schwer. „Am Weltpassworttag sollte man seine Zugangsdaten nicht vergessen.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.