Nachdem Anfang März eine gravierende Sicherheitslücke in Exchange-Servern bekannt wurde, hat
Microsoft Patches ausgeliefert, ein One-Click-Tool zur Schadensbehebung veröffentlicht und selbst Windows Defender für die Schadensabwehr angepasst.
Wie das Microsoft 365 Defender Threat Intelligence Team jetzt aber in einem Blog
analysiert, ist die Gefahr vielerorts noch nicht vorüber. Zwar habe man anhand von Scans feststellen können, dass weltweit über 92 Prozent der Exchange-Server gepatcht seien, doch seien viele Systeme bereits vor den Updates kompromittiert worden. Microsoft warnt indessen folgerichtig: Das Patchen von Systemen sperrt nicht zwangsläufig den Zugang des Angreifers. Wie Untersuchungen ergeben hätten, ist bei vielen kompromittierten Systemen bis anhin noch kein zweiter Angriff erfolgt. Administratoren wird deshalb dazu geraten, das Least-Privileg-Prinzip durchzusetzen, also in allen Fällen nur gerade die absolut nötigen Berechtigungen zu vergeben.
Am Beispiel der DoejoCrypt-Ransomware wird im weiteren erklärt, wie sich die Angreifer erneut Zugang zum Server verschaffen können, auch wenn das ursprüngliche Leck durch die Updates beseitigt worden ist. So wird beim ersten Angriff ein Batch-File im Windows-Verzeichnis namens xx.bat deponiert. Dieses soll ein Backup der Security Account Manager-Datenbank erstellen und darüber den Angreifern Zugriff auf die Credentials ermöglichen. Im
Blog-Beitrag macht Microsofts Security-Team auf verschiedene weitere Anhaltspunkte aufmerksam, die darauf hindeuten könnten, dass sich Angreifer trotz installierten Updates erneut Zugang verschaffen könnten.
(rd)