FBI entfernt Web-Shells von infizierten Exchange-Servern

Cyber Security News

Die US-Behörden haben einen Gerichtsbeschluss beantragt, um Web-Shells zu entfernen, die auf Hunderten von Microsoft Exchange-Servern laufen, nachdem massenhaft Sicherheitslücken ausgenutzt wurden, die im März gepatcht wurden, wie jetzt bekannt wurde.

Das Department of Justice (DoJ) gab den Schritt gestern bekannt und erklärte, dass es den Systembesitzern zwar gelungen sei, Tausende von bösartigen Skripten von ihren infizierten Servern zu entfernen, aber Hunderte blieben bestehen.

Obwohl die Angriffe bereits im Januar begannen, behauptete ein Bericht, dass letztendlich bis zu 30.000 US-Exchange-Server-Kunden von der Kompromittierung betroffen gewesen sein könnten, da verschiedene Gruppen nach dem Bekanntwerden der Bugs einige Monate später zuschlugen.

Auf den infizierten Rechnern wurden Web-Shells installiert, um eine dauerhafte Hintertür zu schaffen, zu der die Angreifer zurückkehren konnten, und über die weitere Malware wie Ransomware und Coin-Miner installiert wurden.

Nach Angaben des DoJ gab das FBI über jede verbleibende Web-Shell einen Befehl an den betroffenen Server aus, der ihn veranlasste, das beleidigende Skript zu löschen, das anhand seines eindeutigen Dateipfads identifiziert wurde.

In der Mitteilung wurden die Opfer der Angriffe jedoch gewarnt, dass sich die vom Gericht autorisierte Aktion nicht auf das Patchen der Exchange Server-Schwachstellen oder das Auffinden und Entfernen von zusätzlicher Malware oder Hacking-Tools, die möglicherweise auf den Endgeräten platziert wurden, erstreckt.

Das FBI ist derzeit dabei, diejenigen zu kontaktieren, deren Rechner es von Web-Shells gesäubert hat, entweder direkt oder über ihren ISP oder einen anderen Dienstanbieter.

Rick Holland, CISO bei Digital Shadows, warnte jedoch, dass das Risiko einer erneuten Infektion für diejenigen, die bisher nicht in der Lage waren, ihre Web-Shells zu entfernen, hoch ist.

“Die Geschwindigkeit, mit der das FBI die Benachrichtigung der Opfer durchführt, ist kritisch. Das FBI hat nur die Web-Shells entfernt, nicht die Software-Schwachstellen selbst. Chinesische Akteure werden zweifellos bereits zusätzliche Wege eingerichtet haben, um die Persistenz in ihren Opfernetzwerken aufrechtzuerhalten. Wir werden einen ‘Goldrausch’ von anderen böswilligen Akteuren erleben, die versuchen, die ungepatchten Exchange-Server erneut zu infizieren”, argumentierte er.

“Der FBI-Benachrichtigungsprozess selbst bietet den Akteuren die Möglichkeit, neue Opfer ins Visier zu nehmen. Bösartige Akteure können einen Phishing-Köder aufstellen, der vorgibt, von einer legitimen FBI-Adresse zu stammen, um ihre Ziele mit Social Engineering zu infizieren.”

Einige Teile dieses Artikels stammen aus:
www.infosecurity-magazine.com