DoJ nutzte Gerichtsbeschlüsse, um “Hunderte” von Exchange Server-Web-Shells zu vereiteln

Cyber Security News

Das Justizministerium nutzte eine gerichtliche Anordnung, um “Hunderte” von Web-Shells zu zerschlagen, die unter Ausnutzung von Exchange Server-Schwachstellen installiert wurden. (Foto von Roy Rochlin/Getty Images for Leaders)

Das Justizministerium nutzte eine gerichtliche Anordnung, um “Hunderte” von Web-Shells zu demontieren, die unter Verwendung von Exchange Server-Schwachstellen installiert wurden, die von Microsoft vor sechs Wochen gepatcht wurden. Microsoft behauptete damals, dass eine staatlich gesponserte Gruppe mit Sitz in China, die sie Hafnium nannte, die Schwachstellen zum Zeitpunkt des Patches aktiv ausnutzte.

“Die heutige gerichtlich genehmigte Entfernung der bösartigen Web-Shells zeigt das Engagement des Ministeriums, Hacker-Aktivitäten mit allen unseren rechtlichen Werkzeugen zu stören, nicht nur mit Strafverfolgungen”, sagte der stellvertretende Generalstaatsanwalt für nationale Sicherheit John Demers in einer Erklärung.

“Zusammen mit den bisherigen Bemühungen des privaten Sektors und anderer Regierungsbehörden, einschließlich der Veröffentlichung von Erkennungstools und Patches, zeigen wir gemeinsam die Stärke, die die öffentlich-private Partnerschaft für die Cybersicherheit unseres Landes bringt.”

Microsoft, das am Dienstagnachmittag zwei neue Sicherheitslücken in Exchange Server gepatcht hat, lehnte eine Anfrage für einen Kommentar ab.

Die Abteilung verwendete die Web-Shells, um sich selbst zu entfernen, indem sie ihnen Befehle zum Löschen schickte. Das FBI bemüht sich, alle Parteien zu alarmieren, die die Shells per E-Mail entfernt haben, und kontaktiert Internet Service Provider, um die Opfer über die IP-Adresse zu finden.

Das DOJ gibt an, dass es “die verbleibenden Web-Shells einer frühen Hackergruppe” entfernt hat, während es feststellt, dass mehrere Gruppen, sowohl kriminelle als auch nationalstaatliche, die Schwachstellen ausgenutzt haben. Sie haben nicht behauptet, mehr als die Web-Shells dieser einen Gruppe zu entfernen, und das Entfernen der Web-Shell wird die zugrunde liegenden Schwachstellen nicht patchen.

Der Schritt ist beispiellos und impliziert ein Verständnis dafür, dass Cyber-Risiken mit der gleichen Dringlichkeit wie andere Bedrohungen der nationalen Sicherheit und der kritischen Infrastruktur angegangen werden sollten, sagte Malcolm Harkins, Chief Security and Trust Officer bei Cymatic.

“Ich applaudiere dem Ansatz. Wenn man es weiter fassen würde, sollten vielleicht die Kosten für die Aufräumarbeiten den Leuten in Rechnung gestellt werden, die die Web-Shell nicht entfernt haben”, sagte er und zog eine Analogie zu einem Chemiewerksbesitzer, der nicht schnell genug auf einen Chemieunfall reagierte, und zu den Maßnahmen der Bundesbehörden nach der BP-Ölkatastrophe.

“Es gibt keinen Zweifel, dass mehr Arbeit zu tun bleibt, aber es sollte auch keinen Zweifel daran geben, dass die Abteilung verpflichtet ist, ihre integrale und notwendige Rolle bei diesen Bemühungen zu spielen”, sagte Demers in der Erklärung.

Diese Geschichte entwickelt sich weiter. Schauen Sie für Updates zurück.

Einige Teile dieses Artikels stammen aus:
www.scmagazine.com