Netzleiter Wartungskunden erhielten außer der Reihe bis spätestens Samstag, 06/03/2021 die Updates eingespielt und per Handarbeit alles überprüft. Möchten Sie auch proaktiv Ihre Server schützen lassen dann rufen Sie uns an. Wir machen mit Ihnen gerne einen (maximal zweistündigen) kostenlosen IT-Check. Rufen Sie uns an. [email protected] 040 20949767 Wir schützen regelmäßig nicht nur vor diesem Microsoft Exchange Hack sondern auch durch das Einspielen der Updates vor viele andere nicht öffentliche Exploits.
Exploits nutzt eine ProxyLogon-Lücke in Microsoft Exchange Server kursieren bereits, nun kommt auch noch Ransomware dazu. Erste Nutzer berichten von verschlüsselten Dateien.
Dieser Artikel ist geschrieben von Tilman Wittenhorst uns ist zuerst erschienen am 13.03.2021 auf: https://www.heise.de/news/Exchange-Server-Angreifer-nutzen-Schwachstellen-fuer-Ransomware-DearCry-5987364.html
Die gravierenden Schwachstellen in Microsoft Exchange Server nutzen Cyberkriminelle bereits aus, und die betroffenen Systeme sind längst noch nicht alle mit den erforderlichen Updates versehen, in denen die Lücken geschlossen sind. Nun jedoch werden anfällige Exchange-Server auch noch das Ziel von Ransomware, die über die Lücken in die Systeme eindringt. Microsoft bestätigte inzwischen den entsprechenden Bericht von BleepingComputer.
Verschlüsselte Dateien und Lösegeldforderung
Am 3. März veröffentlichte Microsoft außerplanmäßige Sicherheitsupdates für Exchange Server, mit denen vier kritische Schwachstellen geschlossen wurden. Zu diesem Zeitpunkt gab es bereits Angriffe, die diese Lücken kombinierten und ausnutzten (zeroday), bekannt unter der Bezeichnung „ProxyLogon“; Angreifer erhalten volle Kontrolle über ein System. Am 9. März erhielt eine Website, die Ransomware-Proben untersucht, erstmals Muster einer neuen Ransomware-Variante, die fast alle von Exchange-Servern stammten, berichtet BleepingComputer.
Auch im Forum von BleepingComputer schildert ein Nutzer, wie ein von ihm administrierter Exchange-Server per „ProxyLogon“ kompromittiert worden war und nun mit einer „DearCry“ getauften Malware befallen ist. Ransomware verschlüsselt bestimmte oder alle Dateien eines infizierten Systems kryptografisch und fordert Nutzer zur Lösegeldzahlung auf, um einen Entschlüsslung-Key zu erhalten. Weil schon erste Exploits der „ProxyLogon“-Lücken kursierten, war bereits befürchtet worden, dass bald Ransomware-Angriffe auf Exchange folgen würden. Diese Erpressungs-Schadsoftware gehört zu den lukrativsten Formen der Cyberkriminalität, Kunden sind oft bereit, die geforderte Summe zu bezahlen (ob sie daraufhin den versprochenen Key erhalten, ist aber nicht sicher).
Microsoft bestätigt neue Ransomware-Variante
Microsofts Security-Spezialist Phillip Misner bestätigte kurz darauf bei Twitter, dass eine neue Ransomware – von ihm „DoejoCrypt“ genannt – auf Exchange-Systemen gesichtet wurde. Die Angriffe seien von Menschen ausgeführt und nutzten die ProxyLogon-Schwachstellen.
BleepingComputer habe von einem McAfee-Mitarbeiter zudem erfahren, dass deren Beobachtungsteam solche Angriffe bereits in den USA, in Luxemburg, Indonesien, Indien, Irland und Deutschland entdeckt habe. Auch das IT-Notfallteam CERT-Bund des BSI erwähnt auf Twitter, dass es erste Hinweise auf Ransomware-Attacken auf Exchange gebe.
Die Angriffe auf Schwachstellen in Exchange Server sind eine erhebliche Bedrohung der IT-Sicherheit weltweit. Das BSI sieht allein in Deutschland zehntausende Systeme betroffen und hat bereits die „IT-Bedrohungslage rot“ ausgerufen. Administratoren sollten umgehend tätig werden, die Updates einspielen und ihre Systeme auf Angriffe untersuchen; dazu stellt Microsoft unter anderem ein PowerShell-Skript bereit.
Dieser Artikel ist geschrieben von Tilman Wittenhorst uns ist zuerst erschienen am 13.03.2021 auf: https://www.heise.de/news/Exchange-Server-Angreifer-nutzen-Schwachstellen-fuer-Ransomware-DearCry-5987364.html