Verwenden Sie dieses Ein-Klick-Mitigationstool von Microsoft, um Exchange-Angriffe zu verhindern

Cyber Security News

Microsoft hat am Montag eine Ein-Klick-Mitigationssoftware veröffentlicht, die alle notwendigen Gegenmaßnahmen anwendet, um verwundbare Umgebungen gegen die derzeit weit verbreiteten ProxyLogon Exchange Server Cyberattacken zu schützen.

Das PowerShell-basierte Skript mit dem Namen Exchange On-premises Mitigation Tool (EOMT) dient der Mitigierung aktueller bekannter Angriffe mit CVE-2021-26855, scannt den Exchange Server mit dem Microsoft Safety Scanner auf eingesetzte Web-Shells und versucht, die erkannten Kompromittierungen zu beheben.

“Dieses neue Tool ist als vorläufige Abhilfemaßnahme für Kunden gedacht, die mit dem Patch-/Aktualisierungsprozess nicht vertraut sind oder die das Exchange-Sicherheitsupdate vor Ort noch nicht angewendet haben”, so Microsoft.

Die Entwicklung folgt auf wahllose Angriffe gegen ungepatchte Exchange-Server auf der ganzen Welt durch mehr als zehn Advanced Persistent Threat-Akteure – die meisten davon staatlich unterstützte Cyberespionage-Gruppen – um Backdoors, Coin-Miner und Ransomware einzuschleusen, wobei die Veröffentlichung von Proof-of-Concept (PoC) die Hacking-Attacke noch weiter anheizt.

Basierend auf Telemetriedaten von RiskIQ wurden bis zum 12. März weltweit 317.269 von 400.000 lokalen Exchange-Servern gepatcht, wobei die USA, Deutschland, Großbritannien, Frankreich und Italien die Länder mit anfälligen Servern anführen.

Darüber hinaus hat die US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) ihren Leitfaden aktualisiert und beschreibt nun bis zu sieben Varianten der China Chopper Web Shell, die von böswilligen Akteuren genutzt werden.

[Blocked Image: https://thehackernews.com/images/-KZiEV9wW7ew/YFBKIQY5ALI/AAAAAAAACCY/O_PgoFnkilgx5kMQCGC_LSY6EhsjeHPigCLcBGAsYHQ/s0/microsoft-exchange-security.jpg]

Die nur vier Kilobyte große Web-Shell ist seit fast einem Jahrzehnt ein beliebtes Post-Exploitation-Tool für Cyber-Angreifer.

Während das Ausmaß der Angriffe untersucht wird, untersucht Microsoft Berichten zufolge auch, wie sich die “begrenzten und gezielten” Angriffe, die Anfang Januar entdeckt wurden, schnell zu einer weit verbreiteten Massenangriffskampagne entwickelten, die das Unternehmen dazu zwang, die Sicherheitsfixes eine Woche vor dem Termin zu veröffentlichen.

Das Wall Street Journal berichtete am Freitag, dass sich die Ermittler darauf konzentrieren, ob ein Microsoft-Partner, mit dem das Unternehmen Informationen über die Schwachstellen über sein Microsoft Active Protections Program (MAPP) geteilt hat, diese entweder versehentlich oder absichtlich an andere Gruppen weitergegeben hat.

Es wird auch behauptet, dass einige Tools, die in der “zweiten Welle” von Angriffen gegen Ende Februar verwendet wurden, dem Proof-of-Concept-Angriffscode ähneln, den Microsoft am 23. Februar mit Antiviren-Unternehmen und anderen Sicherheitspartnern geteilt hat, was die Möglichkeit aufwirft, dass Bedrohungsakteure private Informationen in die Hände bekommen haben könnten, die Microsoft mit seinen Sicherheitspartnern geteilt hat.

Die andere Theorie besagt, dass die Bedrohungsakteure unabhängig voneinander dieselbe Reihe von Schwachstellen entdeckten, die dann ausgenutzt wurden, um heimlich Zielnetzwerke zu erkunden und Mailboxen zu stehlen, bevor die Angriffe ausgeweitet wurden, sobald die Hacker herausfanden, dass Microsoft einen Patch vorbereitete.

“Dies ist das zweite Mal innerhalb der letzten vier Monate, dass nationalstaatliche Akteure Cyberangriffe durchgeführt haben, die das Potenzial haben, Unternehmen und Organisationen jeder Größe zu beeinträchtigen”, so Microsoft. “Während dies als nationalstaatlicher Angriff begann, werden die Schwachstellen von anderen kriminellen Organisationen ausgenutzt, einschließlich neuer Ransomware-Angriffe, mit dem Potenzial für andere bösartige Aktivitäten.”

Haben Sie diesen Artikel interessant gefunden? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

Einige Teile dieses Artikels stammen aus:
thehackernews.com