Anzeige

Update

Derzeit werden tausende Microsoft Exchange Server mit Updates gepatcht. Die Sicherheitslücken, die in den vergangenen Wochen zuhauf beispielsweise von der Hackergruppe Hafnium ausgenutzt wurden, sollten damit behoben sein – für die betroffenen Unternehmen eigentlich ein Grund aufzuatmen, oder?

Falsch, warnt Microsoft, denn kriminelle Hacker könnten sich unbemerkt in bereits kompromittierten Netzwerken festgesetzt haben. Mögliche Folgeangriffe sind daher nicht ausgeschlossen, insbesondere dann, wenn die Exchange Server bei der ursprünglichen Attacke mittels Web-Shell-Skript gekapert oder dabei Anmeldedaten erbeutet wurden.

92 Prozent der für die Angriffe anfälligen Exchange Server gepatcht

Wie Microsoft in der vergangenen Woche mitteilte, sind mittlerweile 92 Prozent der für die Angriffe anfälligen Exchange Server gepatcht oder es wurden andere Sicherheitsvorkehrungen getroffen, um ein Eindringen von außen zu verhindern. Das sind zwar an sich gute Nachrichten, einer Untersuchung der Sicherheitsexperten von F-Secure zufolge wurden vorher allerdings bereits zehntausende Exchange Server kompromittiert. Genau diesen Unternehmen gilt Microsofts Warnung, denn ein eingespielter Patch entfernt nicht unbedingt die Eindringlinge, falls diese sich bereits im System festgesetzt haben.

In seinem Blog schreibt das Team von Microsoft 365 Defender Threat Intelligence, dass bei vielen der kompromittierten Systeme noch keine sekundäre Aktion, wie eine Ransomware-Attacke oder ein Datenklau, stattgefunden habe. Das deute darauf hin, dass die Angreifer sich einen Zugang verschafft haben, den sie sich für potenzielle spätere Aktionen offenhalten wollen.

Für Systemadministratoren der betroffenen Exchange Server bedeutet das, dass sie besonders vorsichtig sein müssen und Maßnahmen ergreifen sollten, um potenziellen Eindringlingen das Leben so schwer wie möglich zu machen. Dazu gehört beispielsweise ein strikter Gebrauch des Prinzips des geringstmöglichen Privilegs. Nutzer sollten also nur so viele Rechte eingeräumt bekommen, wie sie für die Erledigung ihrer Arbeit unbedingt brauchen. Dazu gehören auch Serviceaccounts für automatische und terminierte Aufgaben wie Back-ups, die meistens mit einer ganzen Reihe an Rechten ausgestattet sind und deren Zugangsdaten nur selten geändert werden. Sie könnten von Kriminellen missbraucht werden, die diese Daten beim ursprünglichen Angriff erbeutet haben. Außerdem sollten sich Nutzer auch nur in den Bereichen des Netzwerks bewegen können, zu denen sie Zugang benötigen.

Ein weiteres Risiko für Exchange Server sind böswillige Mining-Programme, die Kryptowährungen schürfen. Ein Beispiel hierfür ist das Lemon Duck Botnet, das dabei beobachtet wurde, wie es verwundbare Exchange Server ausgenutzt hat. Interessanterweise haben die Hintermänner des Botnets dabei den Zugriff anderer Hackergruppen auf den entsprechenden Exchange Server entfernt, damit nur noch ihre eigene Hintertür besteht. Das schützt jedoch nicht vor anderer Malware, denn wie Microsoft warnt, wurde auch Lemon Duck bereits für die Verbreitung weiterer Schädlinge genutzt.

Weitere Informationen:

Für Systemadministratoren hat Microsoft in seinem Blog aufgelistet, welche Indizien auf mögliche Eindringlinge hinweisen.

www.8com.de
 


Weitere Artikel

Ransomware

Die Ransomware-Krise braucht einen globalen Lösungsansatz

Ransomware hat sich mittlerweile zu einem globalen Problem entwickelt. Cyberkriminelle Gruppen operieren von Ländern aus, die ihnen einen sicheren Unterschlupf bieten und es ihnen ermöglichen, sogar raffinierteste Angriffe zu starten. Um eine Eskalation zu…
Facebook Hacker

Spionagekampagne gegen Kurden durch hinterhältige Facebook-Posts

ESET-Forscher haben eine mobile Spionagekampagne untersucht, die sich gezielt gegen Kurden richtet. Die Operation läuft mindestens seit März 2020 und verbreitet sich über spezielle Facebook-Profile. Hierüber werden zwei Android-Backdoors verteilt, die als 888…
Ransomware

Großteil der Unternehmen zweifelt an eigener Ransomware-Resilienz

Anhaltende Cyberbedrohungen und neue Technologien wie Cloud-native Anwendungen, Kubernetes-Container und Künstliche Intelligenz stellen Unternehmen weltweit bei der Datensicherung vor große Herausforderungen. Das zeigt der Dell Technologies 2021 Global Data…
Hacker E-Mail

E-Mail-Account gehackt – Was nun?

Was tun, wenn man die Kontrolle über das E-Mail-Konto verloren hat? Wie sollte man sich im Fall der Fälle verhalten und welche Maßnahmen sollten ergriffen werden, um den Schaden eines gehackten E-Mail-Accounts so gering wie möglich zu halten.
Hacker

48 Prozent der ICS-Experten wissen nicht, ob sie gehackt wurden

Das SANS Institute veröffentlicht die Ergebnisse seiner Umfrage zur ICS-Sicherheit 2021. Die OT-Cybersicherheitslandschaft hat sich in den letzten zwei Jahren seit dem Erscheinen der letzten Studie erheblich verändert.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.