"Malware-Schleuder": CERT warnt vor infizierten Exchange-Servern
Das Computer Emergency Response Team (CERT.at) warnt aktuell vor einer Bedrohung, die von Unternehmens-E-Mails ausgeht. Die Sicherheitsexperten haben festgestellt, dass im Oktober und November diesen Jahres zahlreiche E-Mails verschickt worden sind, die einen Link zu Malware enthalten. Das rechtzeitig zu erkennen, ist aber gar nicht so einfach.
Laut einem Blogeintrag des CERT werden diese E-Mails von legitimen Unternehmensadressen als Antworten auf eine zuvor stattgefundene Unterhaltung verschickt. Die E-Mails werden aber nicht von dem Unternehmen, sondern direkt von kompromittierten Exchange-Servern versendet. Laut CERT sei daher „erhöhte Vorsicht“ geboten - einerseits bei jenen, die solche Mails in ihrem Unternehmensumfeld entdecken, andererseits bei denen, die sie empfangen.
Viele Exchange Server im Einsatz
Der Hintergrund: In diesem Jahr gab es zahlreiche Schwachstellen die Microsoft-Exchange-Server betrafen (die futurezone hatte berichtet). Oft wurden die Server kompromittiert, bevor die Sicherheitslücken gepatcht und Updates eingespielt werden konnten. Laut dem CERT sind sehr viele Server kompromittiert worden - und in Österreich ist Exchange laut Otmar Lendl, Leiter des CERT.at-Teams, sehr verbreitet. Neben kleinen- und mittelständischen Unternehmen (KMU) wird es auch bei Behörden und großen Betrieben eingesetzt.
Besonders problematisch: Selbst wenn IT-Verantwortliche mittlerweile die Mail-Server gewartet und aktualisiert haben, sei eine Kompromittierung der Systeme nicht auszuschließen, heißt es aus dem CERT. „Wir haben in den letzten Monaten zahlreiche Betreiber*innen von Exchange on-premise laufend über identifizierbare Schwachstellen informiert. Bis dato können wir noch immer einige verwundbare Systeme in Österreich feststellen“, ist in dem Blogeintrag zu lesen. „On-premise“ bedeutet in dem Fall, dass die Exchange Server unter Verantwortung des jeweiligen Unternehmens betrieben werden.
Was Unternehmen tun können
CERT.at empfiehlt Unternehmen deshalb, die Web-Komponenten von Exchange wie Web Access oder das Exchange Admin Center nie direkt aus dem Internet zu betreiben, sondern ein virtuelles privates Netzwerk (VPN) mit Zwei-Faktor-Authentifizierung (2FA) einzusetzen. Durch derartig kompromittierte Server droht nämlich im schlimmsten Fall nicht nur das Verschicken von Malware per E-Mail. Die Unternehmensinfrastruktur könnte von Erpresser*innen auch bei Ransomware-Angriffen genutzt werden.