Meldung

Microsoft Exchange Server weiterhin gefährdet

Am 2. März hat Microsoft außerhalb des üblichen Updatezyklus mehrere Sicherheitsupdates für lokale Exchange-Server veröffentlicht. Angreifer sollen die entdeckten Schwachstellen nutzen können, um Zugriff auf E-Mail-Konten zu erlangen und Malware zu installieren. Weiterhin deuten verschiedene Berichte darauf hin, dass neben staatlichen Hackern nun auch Ransomware-Gruppierungen die Lücke großflächig ausbeuten dürften. Glücklicherweise gibt es mittlerweile einige Tools, um eine Kompromittierung zu erkennen.
Unternehmen sollten ihre Exchange-Server baldmöglichst patchen und auf Indicators of Compromise überprüfen.
Nach Angaben von TheRecord [1] wurden die Sicherheitslücken in Microsoft Exchange Server bislang nur von der staatsnahen Hackergruppe HAFNIUM ausgenutzt. Diese soll Web-Shells auf Exchange-E-Mail-Servern auf der ganzen Welt installiert haben, um Ziele auszuspionieren. Am 10. März jedoch hat ein vietnamesischer Sicherheitsforscher ein Proof of Concept (PoC) für die Schwachstellen veröffentlicht, was Cyberkriminellen natürlich in die Karten spielt. Das PoC wurde aus Sicherheitsgründen wieder entfernt, doch hat Bleeping Computer [2] bereits die ersten Ransomware-Attacken beobachtet. Dem Bericht zufolge installierten die Angreifer eine neue Ransomware namens "DEARCRY", nachdem sie sich über die ProxyLogon-Schwachstellen in Exchange-Server gehackt hatten.

Um bei der Überprüfung von Indicators of Compromise (IoCs) zu helfen, hat Microsoft ein Skript [3] veröffentlicht. Ausführliche Update-Informationen zur Vorgehensweise bezüglich der ausgenutzten Schwachstellen "CVE-2021-26855", "CVE-2021-26857", "CVE-2021-26858" und "CVE-2021-27065" hat der Hersteller unter [4] dokumentiert.

Die unter dem Namen ProxyLogon beziehungsweise der Bezeichnung "CVE-2021-26855" bekannte Schwachstelle wurde bereits Anfang Januar von Sicherheitsforschern bei Devcore [5] entdeckt. Gekoppelt mit einer sogenannten post-authentication arbitrary file write vulnerability (CVE-2021-27065) gelang es dem Security-Team als nicht-authentifizierter Benutzer, beliebige Befehle auf Microsoft Exchange Server über einen geöffneten 443-Port auszuführen.

Die Schwachstellen wurden einem Blogbeitrag [6] zufolge mindestens zwei Monate lang aktiv ausgenutzt, bevor Patches verfügbar waren. Somit sollen Exchange-Server auch dann noch gefährdet sein, wenn die Updates sofort installiert werden. Die geschätzte Zahl der potenziell gefährdeten Organisationen gehe weltweit in die Zehntausende mit circa 125.000 ungepatchten Exchange-Servern.
16.03.2021/jm

Tipps & Tools

Doxing fasst Unternehmen ins Visier [7.04.2021]

Kaspersky warnt vor einer neuen Cybergefahr für Unternehmen: Beim "Corporate Doxing" werden Methoden des bislang eher aus dem privaten Bereich bekannten Doxing im Kontext gezielter Angriffe genutzt. Neben gefälschten E-Mails setzen die Angreifer KI ein, um Stimmen von hochrangigen Führungskräften zu imitieren, damit Mitarbeiter vertrauliche Informationen preisgeben oder Gelder überweisen. [mehr]

Wurmbefall durch Purple Fox [30.03.2021]

Sicherheitsforscher haben einen weiteren Angriffsvektor der Malware Purple Fox erkannt. Bisher infizierte das Schadprogramm anfällige Windows-Systeme durch Exploit- oder Phishing-Attacken. Nun sollen auch SMB-Passwörter von Windows-Systemen per Brute-Force-Angriff geknackt werden. [mehr]

Fachartikel

Advertorial: Schwache Passwörter identifizieren und verhindern – regelmäßige Passwortwechsel minimieren [12.04.2021]

Erleichtern Sie das Leben Ihrer Nutzer, indem Sie starke Passwörter mithilfe von leicht zu merkenden Passphrasen im Unternehmen ermöglichen und dadurch Passwortwechsel nur noch im Falle einer Kompromittierung nötig machen. Zu wissen, wie es um die Stärke der Kennwörter im Unternehmen bestellt ist, ist ein guter Ausgangspunkt, um Ihre Passwortsicherheit zu erhöhen. [mehr]

Buchbesprechung

Computernetze und Internet of Things

von Patrick-Benjamin Bök, Andreas Noack, Marcel Müller

Anzeigen