Microsoft empfiehlt Benutzern, ihre Exchange-Server auf dem neuesten Stand zu halten und Vorkehrungen zu treffen, z. B. das Aktivieren von Windows Extended Protection und das Einrichten einer zertifikatbasierten Signierung von PowerShell-Serialisierungsnutzlasten.
Das Exchange-Team des Softwareriesen erklärte in einem Beitrag, dass Angreifer, die versuchen, ungepatchte Exchange-Server anzugreifen, nicht aufhören würden. Der Wert einer ungepatchten lokalen Exchange-Infrastruktur für feindliche Akteure, die versuchen, Daten zu stehlen oder andere Fehlverhalten zu begehen, ist zu groß.
Microsoft wies auch darauf hin, dass die von ihm veröffentlichten Schadensbegrenzungen nur eine vorübergehende Lösung sind und möglicherweise „nicht mehr ausreichen, um sich vor allen Permutationen eines Angriffs zu schützen“, sodass Benutzer die erforderlichen Sicherheitsupgrades installieren müssen, um den Server zu sichern.
Die Veröffentlichung einer technischen Empfehlung von Bitdefender in dieser Woche enthielt eine Beschreibung von Exchange als „perfektes Ziel“ sowie eine Zeitleiste einiger der tatsächlichen Angriffe, bei denen die Exploit-Ketten von ProxyNotShell / OWASSRF ab Ende November 2022 verwendet wurden.
Laut Martin Zugec von Bitdefender verfügt Exchange über ein kompliziertes Netzwerk aus Frontend- und Backend-Diensten sowie alten Code für die Abwärtskompatibilität. Den Anforderungen, die von der Front-End-Schicht [Client Access Services] kommen, vertrauen die Back-End-Dienste.
Zahlreiche Backend-Dienste werden von Exchange Server selbst ausgeführt, der über SYSTEM-Berechtigungen verfügt, was ein weiterer Grund ist. Darüber hinaus könnten die Exploits dem Angreifer unbefugten Zugriff auf den Remote-PowerShell-Dienst verschaffen und so effektiv die Tür für die Ausführung böswilliger Befehle öffnen.
Zu diesem Zweck zielen Angriffe unter Ausnutzung der ProxyNotShell- und OWASSRF-Schwachstellen auf die in Österreich, Kuwait, Polen, der Türkei und den Vereinigten Staaten ansässigen Beratungs-, Rechts-, Fertigungs-, Immobilien- und Großhandelssektoren
. Infektionen, die darauf abzielen, Web-Shells und Remote Monitoring and Management (RMM)-Tools wie ConnectWise Control und GoTo Resolve zu etablieren, gelten als Höhepunkt der meisten Angriffe, die eher als opportunistisch denn als fokussiert und zielgerichtet beschrieben werden.
Mit Web-Shells können Kriminelle eine Vielzahl zusätzlicher Aufgaben erledigen und den Zugriff sogar gewinnbringend an andere Hackergruppen weiterverkaufen, zusätzlich zur Bereitstellung einer dauerhaften Fernzugriffstechnik.
Es ist möglich, dass die gleiche Technik verwendet wurde, um den Umfang der Angriffe zu vergrößern, da in einigen Fällen die zum Hosten der Nutzdaten verwendeten Staging-Server bereits infizierte Microsoft Exchange-Server waren.
Die erfolglosen Versuche von Gegnern, Cobalt Strike und ein Go-basiertes Implantat mit dem Codenamen GoBackClient herunterzuladen, das Systeminformationen abrufen und Reverse-Shells generieren kann, wurden ebenfalls gesehen.
Die Entwickler von Cuba (auch bekannt als COLDDRAW) Ransomware, UNC2596 (auch bekannt als Tropical Scorpius), haben eine Geschichte des Missbrauchs von Microsoft Exchange-Schwachstellen. Bei einem Angriff wurde der BUGHATCH-Downloader mithilfe der ProxyNotShell-Exploit-Sequenz gelöscht.
Obwohl sich der ursprüngliche Infektionsvektor ständig ändert und Bedrohungsakteure jede neue Chance nutzen wollen, sagte Zugec, dass ihre Aktivitäten nach der Ausbeutung bekannt sind. Eine Defense-in-Depth-Architektur ist die beste Verteidigung gegen aktuelle Cyberangriffe.
Deutsch (Sie) 
English 
हिन्दी 
ગુજરાતી 
தமிழ் 
తెలుగు 
मराठी 
മലയാളം 
বাংলা 
Français de Belgique 
Deutsch (Schweiz) 
Deutsch 
English (Canada) 
English (New Zealand) 
English (UK) 
English (Australia) 
English (South Africa) 
Afrikaans 
اردو 
العربية 
Русский 
简体中文 
Azərbaycan dili 
অসমীয়া 
Magyar 
Bahasa Indonesia 
Español de Argentina 
Español de Colombia 
日本語 
Italiano 
Tiếng Việt 
Українська 
فارسی 
Français du Canada