Wenn nicht längst geschehen, sollten Admins die ProxyShell-Lücken in Exchange Server durch die Installation von Sicherheitsupdates schließen.
Derzeit haben es Angreifer abermals auf Microsoft Exchange Server abgesehen. Nach erfolgreichen Attacken platzieren sie Hintertüren in Systemen, kopieren Geschäftsinterna und verschlüsseln Daten mit der Conti-Ransomware. Sicherheitspatches sind seit April verfügbar.
Die Forscher geben an, dass die Angreifer innerhalb von wenigen Tagen sieben Backdoors für spätere Zugriffe im System hinterlassen haben. Außerdem haben sie 1 Terabyte Daten kopiert und die Conti-Verschlüsselungstrojaner von der Leine gelassen.
Für Attacken setzen Angreifer an der verwundbare Autodiscovery-Funktion an. Typischerweise passiert dies mit Anfragen wie dieser:
Unter /autodiscover/autodiscover.json können Admins Logdateien nach etwa unbekannten E-Mail-Adresse durchsuchen, um Angriffsversuche zu erkennen. Im aktuellen Fall sollen Adressen mit @evil.corp vorkommen.
Quelle: heise
Derzeit haben es Angreifer abermals auf Microsoft Exchange Server abgesehen. Nach erfolgreichen Attacken platzieren sie Hintertüren in Systemen, kopieren Geschäftsinterna und verschlüsseln Daten mit der Conti-Ransomware. Sicherheitspatches sind seit April verfügbar.
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
, dass sie Attacken beobachtet haben, bei denen sich Angreifer nach dem Ausnutzen der als „kritisch“ eingestuften
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
(CVE-2021-34473, CVE-2021-34523, CVE-2021-31207) systematisch in Netzwerken ausbreiten und Schadcode installieren. Kombinieren Angreifer die Schwachstellen, können sie Systeme aus der Ferne attackieren, die Authentifizierung umgehen, sich erhöhte Nutzerrechte verschaffen und eigenen Code ausführen.Die Forscher geben an, dass die Angreifer innerhalb von wenigen Tagen sieben Backdoors für spätere Zugriffe im System hinterlassen haben. Außerdem haben sie 1 Terabyte Daten kopiert und die Conti-Verschlüsselungstrojaner von der Leine gelassen.
Für Attacken setzen Angreifer an der verwundbare Autodiscovery-Funktion an. Typischerweise passiert dies mit Anfragen wie dieser:
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
Unter /autodiscover/autodiscover.json können Admins Logdateien nach etwa unbekannten E-Mail-Adresse durchsuchen, um Angriffsversuche zu erkennen. Im aktuellen Fall sollen Adressen mit @evil.corp vorkommen.
Jetzt patchen!
Da die Installation der seit April verfügbaren Sicherheitspatches einem Upgrade gleichkommt und etwa Mails über Exchange Server in diesem Zeitraum nicht ankommen oder rausgehen, haben einige Admins die Updates offensichtlich noch nicht installiert. Das sollte spätestens jetzt passieren. Das von den Lücken ausgehende Risiko ist sehr hoch undDu musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
.Quelle: heise