Hacker nehmen Microsoft Exchange-Server mit Ransomware ins Visier

Cyber Security News

Es hat nicht lange gedauert. Geheimdienste und Cybersecurity-Forscher hatten im Zuge der rasanten Eskalation der Angriffe seit letzter Woche davor gewarnt, dass ungepatchte Exchange-Server den Weg für Ransomware-Infektionen öffnen könnten.

Jetzt scheint es, dass die Bedrohungsakteure aufgeholt haben.

Jüngsten Berichten zufolge nutzen Cyberkriminelle die stark ausgenutzten ProxyLogon-Schwachstellen des Exchange Servers aus, um einen neuen Stamm von Ransomware namens “DearCry” zu installieren.

“Microsoft hat eine neue Familie von menschengesteuerten Ransomware-Angriffen beobachtet – entdeckt als Ransom:Win32/DoejoCrypt.A”, twitterte der Microsoft-Forscher Phillip Misner. “Von Menschen betriebene Ransomware-Angriffe nutzen die Microsoft Exchange-Schwachstellen aus, um Kunden auszunutzen.”

In einem gemeinsamen Advisory der U.S. Cybersecurity and Infrastructure Security Agency (CISA) und des Federal Bureau of Investigation (FBI) warnten die Behörden, dass “Angreifer diese Schwachstellen ausnutzen könnten, um Netzwerke zu kompromittieren, Informationen zu stehlen, Daten für Lösegeld zu verschlüsseln oder sogar einen zerstörerischen Angriff auszuführen.”

Wenn die Schwachstellen erfolgreich ausgenutzt werden, kann ein Angreifer auf die Exchange-Server der Opfer zugreifen und so dauerhaften Systemzugriff und die Kontrolle über ein Unternehmensnetzwerk erlangen. Mit der neuen Ransomware-Bedrohung sind ungepatchte Server nicht nur dem Risiko eines möglichen Datendiebstahls ausgesetzt, sondern werden möglicherweise auch verschlüsselt, wodurch der Zugriff auf die Postfächer eines Unternehmens verhindert wird.

[Blocked Image: https://thehackernews.com/images/-iZgJUFiZuvk/YEspqGmvT2I/AAAAAAAA3sE/hVvU5ajzdKw7qdBT_FayYan-kPq6z3ITgCLcBGAsYHQ/s0/ransomware.jpg]

In der Zwischenzeit, während sich nationale Hacker und Cyberkriminelle darauf stürzen, die ProxyLogon-Schwachstellen auszunutzen, wurde ein Proof-of-Concept (PoC)-Code, der von einem Sicherheitsforscher auf dem Microsoft-eigenen GitHub geteilt wurde, von der Firma heruntergenommen, mit der Begründung, dass der Exploit unter aktivem Angriff steht.

In einer Erklärung an Vice sagte das Unternehmen: “In Übereinstimmung mit unseren Acceptable Use Policies haben wir den Gist nach Berichten deaktiviert, dass er Proof-of-Concept-Code für eine kürzlich bekannt gewordene Sicherheitslücke enthält, die aktiv ausgenutzt wird.”

Der Schritt hat auch eine eigene Debatte ausgelöst, wobei Forscher argumentieren, dass Microsoft “Sicherheitsforscher zum Schweigen bringt”, indem es PoCs entfernt, die auf GitHub geteilt werden.

“Das ist enorm, einen Code eines Sicherheitsforschers von GitHub zu entfernen, der gegen das eigene Produkt gerichtet ist und bereits gepatcht wurde”, sagte Dave Kennedy von TrustedSec. “Es war ein PoC, kein funktionierender Exploit – keiner der PoCs hatte den RCE. Selbst wenn es so wäre, ist das nicht ihre Entscheidung, wann der richtige Zeitpunkt für die Veröffentlichung ist. Es ist ein Problem in ihrem eigenen Produkt, und sie bringen die Sicherheitsforscher damit zum Schweigen.”

Dies wurde auch von Google Project Zero-Forscher Tavis Normandy widergespiegelt.

“Wenn die Richtlinie von Anfang an kein PoC/Metasploit/etc gewesen wäre – das wäre scheiße, aber es ist ihr Service”, sagte Normandy in einem Tweet. “Stattdessen sagten sie OK, und jetzt, wo es zum Standard für Sicherheitsprofis geworden ist, Code zu teilen, haben sie sich selbst zu den Schiedsrichtern dessen ernannt, was ‘verantwortlich’ ist. Wie praktisch.”

Wenn überhaupt, sollte die Angriffslawine als Warnung dienen, alle Versionen des Exchange Servers so schnell wie möglich mit Patches zu versehen und gleichzeitig Maßnahmen zu ergreifen, um Anzeichen für eine Kompromittierung im Zusammenhang mit den Hacks zu erkennen, da die Angreifer diese Zero-Day-Schwachstellen mindestens zwei Monate lang in freier Wildbahn ausnutzten, bevor Microsoft die Patches am 2. März veröffentlichte.

Wir haben Microsoft für weitere Details kontaktiert und werden den Artikel aktualisieren, sobald wir eine Antwort erhalten.

Haben Sie diesen Artikel interessant gefunden? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

Einige Teile dieses Artikels stammen aus:
thehackernews.com