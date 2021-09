Angriffe auf ungepatchte Exchange-Server

Die Zahl der Nutzer, die durch Exploits aufgrund von Schwachstellen in Exchange Server angegriffen wurden, nahm laut Kaspersky im August 2021 um 170 Prozent gegenüber dem Vormonat zu. Diese massive Entwicklung sei auf die steigende Zahl von Angriffen zurückzuführen, die versuchen, bereits bekannte Schwachstellen im Produkt auszunutzen, sowie auf die Tatsache, dass die Anwender anfällige Software nicht durch entsprechende Patches aktualisieren, wodurch sich die potenzielle Angriffsfläche vergrößere.

Ungepatchte Exchange-Server stellen für Unternehmen ein großes Risiko dar.

Sicherheitslücken in Microsoft Exchange Server haben in diesem Jahr für viel Unruhe gesorgt. Anfang März erfuhr die Öffentlichkeit von der Ausnutzung von Zero-Day-Schwachstellen im Exchange-Server, die dann in einer Welle von Angriffen auf Unternehmen weltweit ausgenutzt wurden. Später schloss Microsoft auch eine Reihe der so genannten ProxyShell-Schwachstellen: CVE-2021-34473, CVE-2021-34523 und CVE-2021-31207.



Erweiterte Privilegien

In Kombination stellen diese Sicherheitslücken eine kritische Bedrohung dar und ermöglichen es einem Akteur, die Authentifizierung zu umgehen und Code als Nutzer mit erweiterten Privilegien auszuführen. Obwohl die Patches für diese Schwachstellen bereits vor einiger Zeit veröffentlicht wurden, nutzen Cyberkriminelle diese weiterhin aktiv aus. So wurden 74.274 Nutzer von Kaspersky [1] in den vergangenen sechs Monaten mit Exploits für Exchange-Schwachstellen konfrontiert.



Wie die Cybersecurity and Infrastructure Security Agency (CISA) in den USA am 21. August warnte, werden die ProxyShell-Schwachstellen aktuell in einer neuen Angriffswelle von Cyberkriminellen aktiv ausgenutzt. In ihrem am 26. August veröffentlichten Advisory erklärt Microsoft, dass ein Exchange-Server anfällig ist, wenn er kein kumulatives Update (CU) mit mindestens dem Sicherheitsupdate aus dem Mai (SU) ausführt.



Laut Kaspersky-Telemetrie wurden in der letzten Woche des Sommers täglich mehr als 1700 Nutzer mithilfe von ProxyShell-Exploits angegriffen. Dies führte dazu, dass die Zahl der attackierten Anwender im August 2021 im Vergleich zum Juli 2021 um 170 Prozent angestiegen ist. Dies zeigt, welch großes Problem diese Schwachstellen darstellen, wenn sie nicht gepatcht werden.



Ransomware-Attacken auf Exchange-Server

Untersuchungen der jüngsten Angriffe auf Exchange-Server mit Conti-Ransomware haben laut Sophos derweil ergeben [2], dass die Cyberkriminellen via ProxyShell auf die Systeme zugreifen. Für die Schwachstellen in Microsoft Exchange wurden in Folge diverse kritische Updates während der letzten Monate veröffentlicht. ProxyShell ist eine Weiterentwicklung der ProxyLogon-Angriffsmethode. In den letzten Monaten hat sich der Exploit bei Ransomware-Angreifern zu einem der wichtigsten Werkzeuge entwickelt – auch bei denjenigen, die die neue LockFile-Ransomware einsetzen, die erstmals im Juli auftauchte.



Mit zunehmendem Wissen über dieser Angriffsmethode hat sich die Verweildauer der Cyberkriminellen vom Start bis hin zur endgültigen Aktivierung der Ransomware auf den Zielnetzwerken von Wochen auf Stunden verkürzt. Bei einer von Sophos beobachteten ProxyShell-basierten Attacke gelang den Conti-Angreifern in weniger als einer Minute der Zugang zum Netzwerk des Opfers, inklusive der Einrichtung einer Remote-Web-Shell. Drei Minuten später installierten die Kriminellen eine zweite Backup-Web-Shell. Innerhalb von nur 30 Minuten hatten sie eine vollständige Liste der Computer, Domänencontroller und Domänen-Administratoren des Netzwerks erstellt.



Nach vier Stunden hatten die Conti-Angreifer die Anmeldedaten der Domänen-Administratorenkonten in Händen und begannen mit der Ausführung von Befehlen. Innerhalb von 48 Stunden nach dem ersten Zugriff exfiltrierten die Angreifer etwa 1 TByte an Daten. Nach fünf Tagen setzten sie die Conti-Ransomware im gesamten Netzwerk frei, wobei sie speziell auf einzelne Netzwerkfreigaben auf jedem Computer abzielten.



Im Laufe des Einbruchs installierten die Conti-Angreifer nicht weniger als sieben Hintertüren im Netzwerk: zwei Web-Shells, Cobalt Strike und vier kommerzielle Fernzugriffstools (AnyDesk, Atera, Splashtop und Remote Utilities). Die früh installierten Web-Shells wurden hauptsächlich für den Erstzugang verwendet; Cobalt Strike und AnyDesk sind die primären Tools, die sie für den Rest des Angriffs einsetzten.