Quelle: unsplash
Viele Exchange-Server trotz Updates in Gefahr
Microsoft warnt davor, dass Exchange-Server auch nach dem Einspielen der Updates weiterhin in Gefahr sein könnten.
28. März 2021
Nachdem Anfang März eine gravierende Sicherheitslücke in Exchange-Servern bekannt wurde, hat Microsoft Patches ausgeliefert, ein One-Click-Tool zur Schadensbehebung veröffentlicht und selbst Windows Defender für die Schadensabwehr angepasst.
Wie das Microsoft 365 Defender Threat Intelligence Team jetzt aber in einem Blog analysiert, ist die Gefahr vielerorts noch nicht vorüber. Zwar habe man anhand von Scans feststellen können, dass weltweit über 92 Prozent der Exchange-Server gepatcht seien, doch seien viele Systeme bereits vor den Updates kompromittiert worden. Microsoft warnt indessen folgerichtig: Das Patchen von Systemen sperrt nicht zwangsläufig den Zugang des Angreifers. Wie Untersuchungen ergeben hätten, ist bei vielen kompromittierten Systemen bis anhin noch kein zweiter Angriff erfolgt. Administratoren wird deshalb dazu geraten, das Least-Privileg-Prinzip durchzusetzen, also in allen Fällen nur gerade die absolut nötigen Berechtigungen zu vergeben.
Am Beispiel der DoejoCrypt-Ransomware wird im weiteren erklärt, wie sich die Angreifer erneut Zugang zum Server verschaffen können, auch wenn das ursprüngliche Leck durch die Updates beseitigt worden ist. So wird beim ersten Angriff ein Batch-File im Windows-Verzeichnis namens xx.bat deponiert. Dieses soll ein Backup der Security Account Manager-Datenbank erstellen und darüber den Angreifern Zugriff auf die Credentials ermöglichen. Im Blog-Beitrag macht Microsofts Security-Team auf verschiedene weitere Anhaltspunkte aufmerksam, die darauf hindeuten könnten, dass sich Angreifer trotz installierten Updates erneut Zugang verschaffen könnten. (rd)
Wie das Microsoft 365 Defender Threat Intelligence Team jetzt aber in einem Blog analysiert, ist die Gefahr vielerorts noch nicht vorüber. Zwar habe man anhand von Scans feststellen können, dass weltweit über 92 Prozent der Exchange-Server gepatcht seien, doch seien viele Systeme bereits vor den Updates kompromittiert worden. Microsoft warnt indessen folgerichtig: Das Patchen von Systemen sperrt nicht zwangsläufig den Zugang des Angreifers. Wie Untersuchungen ergeben hätten, ist bei vielen kompromittierten Systemen bis anhin noch kein zweiter Angriff erfolgt. Administratoren wird deshalb dazu geraten, das Least-Privileg-Prinzip durchzusetzen, also in allen Fällen nur gerade die absolut nötigen Berechtigungen zu vergeben.
Am Beispiel der DoejoCrypt-Ransomware wird im weiteren erklärt, wie sich die Angreifer erneut Zugang zum Server verschaffen können, auch wenn das ursprüngliche Leck durch die Updates beseitigt worden ist. So wird beim ersten Angriff ein Batch-File im Windows-Verzeichnis namens xx.bat deponiert. Dieses soll ein Backup der Security Account Manager-Datenbank erstellen und darüber den Angreifern Zugriff auf die Credentials ermöglichen. Im Blog-Beitrag macht Microsofts Security-Team auf verschiedene weitere Anhaltspunkte aufmerksam, die darauf hindeuten könnten, dass sich Angreifer trotz installierten Updates erneut Zugang verschaffen könnten. (rd)
Weitere Artikel zum Thema
Exchange-Angriffe verdoppeln sich innert Stunden
14. März 2021 - Die Angriffe auf nicht gepatchte Exchange Server häufen sich weltweit. Zudem haben Cyberkriminelle damit begonnen, die angegriffenen Systeme mit Ransomware zu verschlüsseln.Zero-Day-Schwachstellen in Microsoft Exchange werden aktiv ausgenutzt
8. März 2021 - Mehrere Zero-Day-Schwachstellen in Microsoft Exchange werden aktuell für Angriffe auf US-Kommunalverwaltungen ausgenutzt.Artikel kommentieren
