Suche
Close this search box.

Schlagwort: ProxyShell

Exchange-Server-Attacken reißen nicht ab
Bedrohung

Exchange-Server-Attacken reißen nicht ab

Exchange-Server-Attacken reißen nicht ab – Nach wie vor werden dutzende Exchange-Server attackiert. Die Administratoren müssen jetzt endlich handeln. Die Sicherheitsupdates sind bereits seit April verfügbar und dennoch gibt es viele ungepachtet Exchange Server. Exchange-Server-Attacken reißen nicht ab Angreifer haben es immer noch auf die ProxyShell-Lücken im Exchange Server von Microsoft abgesehen. Nach erfolgreichen Angriffen platzieren die Angreifer Hintertüren im System um Geschäftsdaten kopieren zu können, Daten zu verschlüsseln oder weitere Ransomware-Angriffe durchzuführen. In diesem Zusammenhang wird von dem Verschlüsselungstrojaner Conti berichtet. Sicherheitsforscher von Sophos geben in einem Bericht an, man habe Attacken beobachtet, bei denen sich Angreifer nach dem Ausnutzen der kritischen Sicherheitslücken systematisch in Netzwerken ausbreiten konnten. Kombinierte Angriffe aus der Ferne um Authentifizierung zu umgehen und sich erhöhte Nutzerrechte zu verschaffen um Schadcode ausführen zu können. Conti-Verschlüsselungstrojaner mit an Board Die Forscher haben beobachtet, dass über die attackierten Systeme anschließend auch der Conti-Verschlüsselungstrojaner von der Leine gelassen wurde. Mindestens sieben Backdoors für spätere Zugriffe sollen platziert worden sein. Mehr als 1 Terabyte Daten wurden kopiert. Für die Angriffe wird auf die verwundbare Autodiscover-Funktion zurückgegriffen. Typische Anfragen können so aussehen: https://Exchange-server/autodiscover/autodiscover.json?@foo.com/mapi/nspi/?&Email=autodiscover/autodiscover.json%3F@foo.com In den Logdateien können Administratoren diese Form von Angriffen erkennen. Auch die iKomm GmbH registriert immer wieder diese Attacken auf diverse Systeme. Auch größere, bekannte Unternehmen sollen von den Attacken bereits betroffen worden sein. Es wird also höchste Zeit die Sicherheitsupdates einzuspielen. Jetzt patchen! Die Sicherheitsupdates sind bereits seit April verfügbar. Wir berichteten ebenfalls bereits über die ProxyShell-Lücken und haben Ihnen die Links zu Microsoft zur Verfügung gestellt. Für die Updates wird der Exchange Server in dieser kurzen Zeit keine E-Mails mehr empfangen oder versenden können. Es kommt einem Upgrade gleich. Das ist vermutlich auch ein Grund warum manche Admins die Updates noch nicht durchgeführt habe. Das Risiko ist allerdings sehr groß und schon seit Monaten werden die Lücken ausgenutzt. Administratoren müssen nun handeln… Weitere Informationen zu Microsoft-Themen finden Sie hier.

ProxyShell Angriffswelle auf Exchange-Server
Bedrohung

ProxyShell Angriffswelle auf Exchange-Server

ProxyShell Angriffswelle auf Exchange-Server – Die Sicherheitslücken sind bekannt, es existieren Patches und dennoch sind tausende Exchange Server angreifbar. Nun startet eine große Angriffswelle welche die Schwachstellen ausnutzt. Bereits seit Freitag, 20. August läuft eine massive Angriffswelle auf die ungepatchten Exchange Server Version 2013 bis 2019. Die sogenannte ProxyShell-Schwachstelle ist das Ziel der Angreifer. Wir haben bereits über diese Schwachstellen berichtet. Sicherheitsforscher haben binnen 48 Stunden über 1900 Übernahmen von Exchange-Server beobachten können. ProxyShell Angriffswelle auf Exchange-Server Bereits Anfang August hatte der Sicherheitsforscher Orange Tsai im Rahmen der BlackHat 2021 Hackerkonferenz auf die Schwachstellen hingewiesen bzw. die Angriffsszenarien vorgestellt. Kurze Zeit darauf wurden auch die ersten Scans im Internet nach verwundbaren Exchange Servern dokumentiert. Durch eine Kombination von drei Schwachstellen sind ProxyShell-Exploits per Remote-Angriffe auf die Systeme möglich. Das gilt nur für Server die ungepatcht sind, denn Microsoft hat bereits Updates und Patches zur Verfügung gestellt. Die beschriebenen Schwachstellen lauten: CVE-2021-34473 (als “kritisch” eingestuft), CVE-2021-34523 (ebenfalls “kritisch”) und CVE-2021-31207 (“mittel”). Über die Suchmaschine Shodan lassen sich ca. 240.000 Exchange Server aus dem Internet ermitteln. Ca. 46.000 davon sollen angreifbar sein. In Deutschland sollen es ca. 7800 Exchange Server sein welche per ProxyShell-Exploit verwunbar sind. Fast 2000 infizierte Server in 48 Stunden Auch Sicherheitsforscher von HuntressLabs verfolgen die Angriffe und schlagen Alarm. In ihrem Blog führen fünf verschieden Arten von WebShells vor, welche über die ProxyShell-Angriffsszenarien eingesetzt werden können. Über WebShells verschaffen sich die Cyberkriminellen erhöhte Rechte am System und damit eine Hintertür zu weiteren Aktivitäten. In nur 48 Stunden wurden weltweit über 1900 Exchange Server infiziert. Betroffen sind dabei alle gängigen Versionen des Microsoft Exchange Servers (2013,2016 und 2019). Zahlreiche Unternehmen sind bereits betroffen darunter sind laut Informationen der Sicherheitsexperten auch Unternehmen aus der Verarbeitungsindustrie für Meeresfrüchte, Industriemaschinen, Autowerkstätten und weitere Firmen. Patches seit April 2021 Die Patches für die Schwachstellen hat Microsoft bereits im April 2021 veröffentlicht. Microsoft wusste also bereits vor der Vorstellung der Schwachstellen auf der Hackerkonferenz von den Problemen. Seit Wochen werden Administratoren aufgefordert ihre Exchange Server zu patchen. Wer bisher noch nicht gepatcht hat, könnte bereits mit einer WebShell als Backdoor infiziert sein. Die Patches entfernen diese aber nicht. Wie Sie Infektionen finden hat Heise.de bereits ausführlich beschrieben.

Nach oben scrollen