Ausnutzung von Schwachstellen
Exchange-Angriff: Wer ist betroffen und was nun?
Aktuelle Infos und Empfehlungen zu Hafnium
Save to Folio
Originalartikel von live casino online
Cyber-Spionage-Kampagnen in der Gr??enordnung der aktuellen Vorg?nge um Microsoft Exchange Server sind selten. Vier Sicherheitslücken wurden laut Microsoft von einer staatlich unterstützten Bedrohungsgruppe mit Verbindungen nach China ausgenutzt. Mindestens 30.000 US-Unternehmen sind mutma?lich betroffen. In Deutschland sind es laut zehntausende Server. Die Sicherheitsforscher von live casino online fanden bei ihrer neuesten Recherche auf Shodan immer noch etwa 63.000 exponierte Server, die über diese Exploits angreifbar sind. Das Einspielen der verfügbaren Patches sollte oberste Priorit?t haben. Ist das nicht m?glich, müssen alle anf?lligen Server vom Netz genommen werden. Auch muss zum jetzigen Zeitpunkt jeder, der einen Exchange-Server betreibt, Nachforschungen anstellen, um nach Anzeichen einer Kompromittierung zu suchen. live casino online unterstützt alle Empfehlungen von und anderen und hat zus?tzlich Erkenntnisse und Schutzma?nahmen für die Kunden hinzugefügt.
Was ist passiert?
Die Angriffe konnten bis zum werden, als eine neue Angreifergruppe, von Microsoft sp?ter , damit begann, vier Zero-Day-Bugs in Exchange Server auszunutzen. Die Gruppe setzt auf virtuelle private Server (VPS) in den USA, um ihren wahren Standort zu verbergen. Microsoft hat letzte Woche Notfall-Patches herausgegeben und :
?Bei den beobachteten Angriffen nutzte der Bedrohungsakteur diese Schwachstellen, um auf lokale Exchange-Server zuzugreifen, was den Zugriff auf E-Mail-Konten erm?glichte und die Installation zus?tzlicher Malware erlaubte, um den langfristigen Zugriff auf die Umgebungen der Opfer zu erleichtern.“
Bei einer Verkettung k?nnten die Angreifer die Schwachstellen dazu nutzen, um sich als Exchange-Server zu authentifizieren, Code als System auszuführen und eine Datei in einen beliebigen Pfad auf dem Server zu schreiben. Nach dem Missbrauch der vier Sicherheitslücken soll Hafnium Web-Shells einsetzen, die es der Gruppe erm?glichen, Daten zu stehlen und zus?tzliche b?sartige Aktionen durchzuführen, um ihre Ziele weiter zu kompromittieren. Dazu k?nnte auch Ransomware geh?ren.
Sowohl das als auch die US Cybersecurity and Infrastructure Security Agency (CISA) sind ?u?erst beunruhigt über die weitreichenden Konsequenzen der Kampagne. CISA hat die Regierungsbeh?rden angewiesen, ihre Onpremise Exchange Server sofort zu patchen oder vom Netz zu nehmen.
Wer ist betroffen?
In einer ersten Einsch?tzung erkl?rte Microsoft, dass Hafnium vorher schon Organisationen in Bereichen wie der Erforschung von Infektionskrankheiten, dem Rechtswesen, der Hochschulbildung, der Verteidigung, politische Think Tanks und NGOs angegriffen hat. Es gibt jedoch Hinweise darauf, dass die jüngste umfangreiche Angriffswelle das Werk anderer Bedrohungsakteure sein k?nnte. Unabh?ngig von der Quelle , dass kleine und mittelst?ndische Unternehmen, Organisationen des Bildungssektors sowie staatliche und kommunale Beh?rden überproportional betroffen sein k?nnten, da diese oft weniger Ressourcen für die Sicherheit aufwenden k?nnen.
Unternehmen, die Onpremises Exchange Server betreiben, k?nnen folgenderma?en prüfen, ob sie betroffen sind:
- Scannen der Exchange Server-Logdateien mit dem ?, um nach einer Kompromittierung zu suchen.
- Eine manuelle Suche mit live casino online Vision One durchführen, um bekannte Indicators of Compromise (IoCs) im Zuammenhang mit der Kampagne zu finden.
Was nun?
Findet eine Organisation mit dem Scan heraus, dass die Umgebungen nicht kompromittiert sind, sollten die von Patches so schnell wie m?glich aufgespielt werden. Gibt es jedoch Anzeichen einer Ausnutzung dieser Schwachstellen in der Unternehmensumgebung, befindet sich die Organisation im Incident Response-Modus.
Der dann eingeschlagene Weg h?ngt von der Situation und den Ressourcen im betroffenen Unternehmen ab. live casino online empfiehlt KMUs und gr??eren Unternehmen folgende Schritte:
- Gibt es kein Sicherheitsteam im Unternehmen, so sollte der Sicherheitsanbieter oder MSP um Hilfe ersucht werden.
- Gibt es ein Incident Response Team im Haus, so wird sich dieses um die n?chsten Schritte kümmern.
- Es sollte kein Re-Imaging von Rechnern durchgeführt werden, bevor nicht ein forensischer Scan stattgefunden hat, um sicherzustellen, dass alle IoCs erhalten geblieben sind.
- Kontakt zur Rechtsabteilung aufnehmen, um die Anforderungen einer Benachrichtigung über eine Sicherheitsverletzung zu kl?ren.
Weitere Informationen zu live casino onlines Erkennungen und zus?tzlichen Schutzma?nahmen bezüglich dieser Kampagne gibt der Knowledge Base-Artikel . Er wird laufend aktualisiert.