Meldung

Angriffe auf ungepatchte Exchange-Server

Die Zahl der Nutzer, die durch Exploits aufgrund von Schwachstellen in Exchange Server angegriffen wurden, nahm laut Kaspersky im August 2021 um 170 Prozent gegenüber dem Vormonat zu. Diese massive Entwicklung sei auf die steigende Zahl von Angriffen zurückzuführen, die versuchen, bereits bekannte Schwachstellen im Produkt auszunutzen, sowie auf die Tatsache, dass die Anwender anfällige Software nicht durch entsprechende Patches aktualisieren, wodurch sich die potenzielle Angriffsfläche vergrößere.
Ungepatchte Exchange-Server stellen für Unternehmen ein großes Risiko dar.
Sicherheitslücken in Microsoft Exchange Server haben in diesem Jahr für viel Unruhe gesorgt. Anfang März erfuhr die Öffentlichkeit von der Ausnutzung von Zero-Day-Schwachstellen im Exchange-Server, die dann in einer Welle von Angriffen auf Unternehmen weltweit ausgenutzt wurden. Später schloss Microsoft auch eine Reihe der so genannten ProxyShell-Schwachstellen: CVE-2021-34473, CVE-2021-34523 und CVE-2021-31207.

Erweiterte Privilegien
In Kombination stellen diese Sicherheitslücken eine kritische Bedrohung dar und ermöglichen es einem Akteur, die Authentifizierung zu umgehen und Code als Nutzer mit erweiterten Privilegien auszuführen. Obwohl die Patches für diese Schwachstellen bereits vor einiger Zeit veröffentlicht wurden, nutzen Cyberkriminelle diese weiterhin aktiv aus. So wurden 74.274 Nutzer von Kaspersky [1] in den vergangenen sechs Monaten mit Exploits für Exchange-Schwachstellen konfrontiert.

Wie die Cybersecurity and Infrastructure Security Agency (CISA) in den USA am 21. August warnte, werden die ProxyShell-Schwachstellen aktuell in einer neuen Angriffswelle von Cyberkriminellen aktiv ausgenutzt. In ihrem am 26. August veröffentlichten Advisory erklärt Microsoft, dass ein Exchange-Server anfällig ist, wenn er kein kumulatives Update (CU) mit mindestens dem Sicherheitsupdate aus dem Mai (SU) ausführt.

Laut Kaspersky-Telemetrie wurden in der letzten Woche des Sommers täglich mehr als 1700 Nutzer mithilfe von ProxyShell-Exploits angegriffen. Dies führte dazu, dass die Zahl der attackierten Anwender im August 2021 im Vergleich zum Juli 2021 um 170 Prozent angestiegen ist. Dies zeigt, welch großes Problem diese Schwachstellen darstellen, wenn sie nicht gepatcht werden.

Ransomware-Attacken auf Exchange-Server
Untersuchungen der jüngsten Angriffe auf Exchange-Server mit Conti-Ransomware haben laut Sophos derweil ergeben [2], dass die Cyberkriminellen via ProxyShell auf die Systeme zugreifen. Für die Schwachstellen in Microsoft Exchange wurden in Folge diverse kritische Updates während der letzten Monate veröffentlicht. ProxyShell ist eine Weiterentwicklung der ProxyLogon-Angriffsmethode. In den letzten Monaten hat sich der Exploit bei Ransomware-Angreifern zu einem der wichtigsten Werkzeuge entwickelt – auch bei denjenigen, die die neue LockFile-Ransomware einsetzen, die erstmals im Juli auftauchte.

Mit zunehmendem Wissen über dieser Angriffsmethode hat sich die Verweildauer der Cyberkriminellen vom Start bis hin zur endgültigen Aktivierung der Ransomware auf den Zielnetzwerken von Wochen auf Stunden verkürzt. Bei einer von Sophos beobachteten ProxyShell-basierten Attacke gelang den Conti-Angreifern in weniger als einer Minute der Zugang zum Netzwerk des Opfers, inklusive der Einrichtung einer Remote-Web-Shell. Drei Minuten später installierten die Kriminellen eine zweite Backup-Web-Shell. Innerhalb von nur 30 Minuten hatten sie eine vollständige Liste der Computer, Domänencontroller und Domänen-Administratoren des Netzwerks erstellt.

Nach vier Stunden hatten die Conti-Angreifer die Anmeldedaten der Domänen-Administratorenkonten in Händen und begannen mit der Ausführung von Befehlen. Innerhalb von 48 Stunden nach dem ersten Zugriff exfiltrierten die Angreifer etwa 1 TByte an Daten. Nach fünf Tagen setzten sie die Conti-Ransomware im gesamten Netzwerk frei, wobei sie speziell auf einzelne Netzwerkfreigaben auf jedem Computer abzielten.

Im Laufe des Einbruchs installierten die Conti-Angreifer nicht weniger als sieben Hintertüren im Netzwerk: zwei Web-Shells, Cobalt Strike und vier kommerzielle Fernzugriffstools (AnyDesk, Atera, Splashtop und Remote Utilities). Die früh installierten Web-Shells wurden hauptsächlich für den Erstzugang verwendet; Cobalt Strike und AnyDesk sind die primären Tools, die sie für den Rest des Angriffs einsetzten.
14.09.2021/dr

Nachrichten

Machine Learning für mehr Datensicherheit [24.09.2021]

Die Erfahrungen der vergangenen zwei Jahre sind eindeutig: Einen Ransomware-Angriff zu verhindern ist schwierig. Manche Experten sagen sogar, dass es selbst mit der neuesten Technologie und einem soliden, umfassenden Verteidigungsansatz nahezu unmöglich ist. Wenn es also keinen todsicheren Weg gibt, einen Angriff zu verhindern, ist die Wiederherstellung die nächstbeste Option. Bei einem Wiederherstellungsplan für Ransomware gibt es jedoch viele Entscheidungen und Nuancen. [mehr]

Automatisierte Cybersicherheit [23.09.2021]

LogPoint hat die angekündigte Übernahme des Unternehmens SecBI mit Sitz in Tel Aviv abgeschlossen. Die SOAR- und XDR-Plattform von SecBI soll nun nativ in LogPoint integriert werden, um so eine integrierte, grundlegende Security--Operations-Plattform zu schaffen. LogPoint SOAR soll zusammen mit LogPoint 7.0 im Dezember 2021 veröffentlicht werden, XDR folge Mitte 2022. [mehr]

Sicher aus der Ferne [20.09.2021]

Fachartikel

Gefahrenabwehr im SOC [22.09.2021]

Keine Technologie schützt gegen alle Bedrohungen. Solange menschliche Hacker eine Lücke in der Abwehr finden, müssen ihnen menschliche Cyber-Security-Analysten gegenüberstehen. Sicherheit braucht Experten, die proaktiv Gefahren suchen und Lücken schließen sowie im Ernstfall unterstützend eingreifen. Wie die Spezialisten vorgehen und welche Anforderungsprofile Unternehmen an sie stellen können, zeigt der Fachartikel über Security Operation Center und ihren Mehrwert gegenüber MDR oder MSPs. [mehr]

Buchbesprechung

Windows 10 Power-Tipps

von Günter Born

Anzeigen