Exchange-Server-Attacken reißen nicht ab

Exchange-Server-Attacken reißen nicht ab

Exchange-Server-Attacken reißen nicht ab – Nach wie vor werden dutzende Exchange-Server attackiert. Die Administratoren müssen jetzt endlich handeln. Die Sicherheitsupdates sind bereits seit April verfügbar und dennoch gibt es viele ungepachtet Exchange Server.

Advertisement

Exchange-Server-Attacken reißen nicht ab

Angreifer haben es immer noch auf die ProxyShell-Lücken im Exchange Server von Microsoft abgesehen. Nach erfolgreichen Angriffen platzieren die Angreifer Hintertüren im System um Geschäftsdaten kopieren zu können, Daten zu verschlüsseln oder weitere Ransomware-Angriffe durchzuführen. In diesem Zusammenhang wird von dem Verschlüsselungstrojaner Conti berichtet.

Sicherheitsforscher von Sophos geben in einem Bericht an, man habe Attacken beobachtet, bei denen sich Angreifer nach dem Ausnutzen der kritischen Sicherheitslücken systematisch in Netzwerken ausbreiten konnten. Kombinierte Angriffe aus der Ferne um Authentifizierung zu umgehen und sich erhöhte Nutzerrechte zu verschaffen um Schadcode ausführen zu können.

Advertisement

Conti-Verschlüsselungstrojaner mit an Board

Die Forscher haben beobachtet, dass über die attackierten Systeme anschließend auch der Conti-Verschlüsselungstrojaner von der Leine gelassen wurde. Mindestens sieben Backdoors für spätere Zugriffe sollen platziert worden sein. Mehr als 1 Terabyte Daten wurden kopiert.

Advertisement

Für die Angriffe wird auf die verwundbare Autodiscover-Funktion zurückgegriffen. Typische Anfragen können so aussehen:

https://Exchange-server/autodiscover/autodiscover.json?@foo.com/mapi/nspi/?&Email=autodiscover/autodiscover.json%3F@foo.com

In den Logdateien können Administratoren diese Form von Angriffen erkennen. Auch die iKomm GmbH registriert immer wieder diese Attacken auf diverse Systeme. Auch größere, bekannte Unternehmen sollen von den Attacken bereits betroffen worden sein. Es wird also höchste Zeit die Sicherheitsupdates einzuspielen.

Jetzt patchen!

Die Sicherheitsupdates sind bereits seit April verfügbar. Wir berichteten ebenfalls bereits über die ProxyShell-Lücken und haben Ihnen die Links zu Microsoft zur Verfügung gestellt. Für die Updates wird der Exchange Server in dieser kurzen Zeit keine E-Mails mehr empfangen oder versenden können. Es kommt einem Upgrade gleich. Das ist vermutlich auch ein Grund warum manche Admins die Updates noch nicht durchgeführt habe. Das Risiko ist allerdings sehr groß und schon seit Monaten werden die Lücken ausgenutzt. Administratoren müssen nun handeln…

Weitere Informationen zu Microsoft-Themen finden Sie hier.

Bewerten Sie diesen Beitrag:
[Gesamt: 1 Durchschnitt: 5]
Advertisement

Share:

Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
LinkedIn
Share on telegram
Telegram
Share on whatsapp
WhatsApp
Share on email
Email
Share on print
Print

Das könnte Sie auch interessieren:

Kernel-Lücke in Windows
Microsoft

Kernel-Lücke in Windows

Kernel-Lücke in Windows – Mircrosoft hat am Patchday im Oktober zahlreiche Updates für .NET Core, Dynamics, Edge, Exchange Server, Office, Share Point, System Center Operations

Weiterlesen »