Angreifer hackte einen Microsoft Exchange-Server, um Zugriff auf andere zu erhalten

Cyber Security News

Microsoft bereitet sich auf eine Pressekonferenz t in Los Angeles, Kalifornien, vor. (Foto von Kevork Djansezian/Getty Images)

Forscher haben am Dienstag berichtet, dass ein unbekannter Angreifer einen Microsoft Exchange-Server gehackt hat, um einen bösartigen Monero-Kryptominer auf anderen Exchange-Servern zu installieren und sich so Zugang zu verschaffen.

Die Nachricht kam am selben Tag, an dem Microsoft seine Exchange-Kunden aufforderte, alle aktuellen Patches auszuführen, um die neuesten Schwachstellen zu entschärfen, einschließlich neuer kritischer Fehler, und wurde von Top-Cyber-Beamten in der Bundesregierung unterstützt.

In einem Blog-Post erklären die SophosLabs, dass ihr Team bei der Untersuchung von Telemetriedaten auf diesen ungewöhnlichen Angriff auf die Exchange-Server eines Kunden gestoßen ist – ein Hinweis darauf, dass der Hack der Exchange-Lieferkette den Sicherheitsexperten weiterhin Kopfzerbrechen bereiten wird.

Laut den Forschern “beginnt der Angriff mit einem PowerShell-Befehl, um eine Datei namens win_r.zip aus dem Outlook-Web-Access-Anmeldepfad eines anderen kompromittierten Servers (/owa/auth) abzurufen.” Basierend auf der Monero-Blockchain, die die Forscher beobachteten, begann die Kryptowallet am 9. März Geld zu erhalten – dem Patch Tuesday, an dem die Exchange-Updates als Teil des Update-Zyklus veröffentlicht wurden. Dies entspricht dem Zeitpunkt, an dem das SophosLabs-Team den Angriff zum ersten Mal sah. Im Laufe des März und bis Anfang April verlor der Angreifer mehrere Server und seine Kryptomining-Leistung nahm ab, aber dann gewann er laut den Forschern einige neue hinzu, die die frühen Verluste mehr als wettmachten.

“Es ist naheliegend, dass die Microsoft Exchange Server-Schwachstellen für eine breite Palette von ruchlosen Zwecken genutzt werden”, sagte Oliver Tavakoli, Chief Technology Officer bei Vectra. “Was dieses Beispiel interessant macht, ist, dass der Angreifer, nachdem er sich in einen solchen Exchange-Server gehackt hatte, ein Kryptomining-Paket auf diesem bereitstellte und beim Hacken anderer Exchange-Server das Paket einfach von dem bereitgestellten Ort abrief. Es ist unwahrscheinlich, dass Firewalls den Datenverkehr zwischen Exchange-Servern blockieren, und es kann sogar sein, dass sie solchen Datenverkehr bei der Inhaltskontrolle durchlassen und so einen guten Kanal für die Auslieferung von dubiosen ausführbaren Dateien bieten.”

Yaniv Bar-Dayan, Mitbegründer und CEO von Vulcan Cyber, empfahl, dass jeder, der Exchange einsetzt, so bald wie möglich nach dieser Schwachstelle scannen sollte, um potenzielle Risiken für das Unternehmen zu identifizieren und zu priorisieren.

“Es sei denn, Sie haben kein Problem damit, dass jemand in Ihrem Keller wohnt und keine Miete zahlt, oder dass ein Nachbar über Ihr Wi-Fi Torrents abruft, dann wollen Sie wahrscheinlich nicht, dass Kryptominer Payloads auf Ihrem Exchange Server ausführen”, sagte er.

Einige Teile dieses Artikels stammen aus:
www.scmagazine.com