Cyberangriffe auf Microsoft Exchange Server mit 7 Hintertüren

06.09.2021

Forscher*innen von SophosLabs haben rausgefunden, wie Cyberkriminelle sieben Hintertüren bei einer Attacke eingeschleust haben.

Dieser Artikel ist älter als ein Jahr!

Am 2. März diesen Jahres wurde eine Sicherheitslücke bekannt, die Microsoft Exchange Server betrifft. Die Sicherheitslücke betrifft Systeme weltweit, auch in Österreich waren zum Zeitpunkt des Bekanntwerdens der Lücke rund 7500 Systeme anfällig für Cyberattacken, darunter Systeme von Behörden, KMUs und Großbetrieben.

Diese und weitere Lücken bei Microsoft Exchange Servern, die die ProxyShell betreffen, wurden von Angreifern nun seit geraumer Zeit massiv ausgenutzt. Gestohlene E-Mails, Hintertüren in Systeme und Erspressung waren die Folgen. Erste Cyberkriminelle nutzen die bekannte Sicherheitslücke nämlich bereits noch im März aus, um Systeme mit Erpressersoftware anzugreifen.

Das ging allerdings weiter. Die Sicherheitsforscher*innen von Sophos haben nun beobachtet, dass Angreifer*innen vor allem die ProxyShell-Lücken ausnutzen, um sich systematisch in Netzwerken auszubreiten, Schadcode zu installieren und Ransomware. Insgesamt werden dabei 7 Hintertüren eingepflanzt. Die Cyberkriminellen können in Folge Systeme aus der Ferne attackieren, die Authentifizierung umgehen, sich erhöhte Nutzerrechte verschaffen und eigenen Code ausführen. Beobachtet wurden „schnelle, effiziente Angriffe“.

Wie die Angriffe ablaufen

Laut den Sophos-Sicherheitsforscher*innen schaffen es die Angreifer*innen binnen einer Minute, sich Zugang zum Netzwerk des Opfers zu verschaffen, wenn die Sicherheitslücken nicht gepatcht worden sind. „Innerhalb von nur 30 Minuten hatten sie eine vollständige Liste der Computer, Domänencontroller und Domänen-Administratoren des Netzwerks erstellt. Nach vier Stunden hatten die Conti-Angreifer die Anmeldedaten der Domänen-Administratorenkonten in Händen und begannen mit der Ausführung von Befehlen. Innerhalb von 48 Stunden nach dem ersten Zugriff exfiltrierten die Angreifer etwa 1 Terabyte an Daten. Nach fünf Tagen setzten sie die Conti-Ransomware im gesamten Netzwerk frei, wobei sie speziell auf einzelne Netzwerkfreigaben auf jedem Computer abzielten“, beschreiben die Sophos-Sicherheitsforscher*innen.

Insgesamt würde es den Angreifer*innen gelingen, 7 Hintertüren in die Systeme einzupflanzen. Für alle, die es ganz genau wissen wollen: Dabei handelt es sich um zwei Web-Shells, Cobalt Strike und vier kommerzielle Fernzugriffstools (AnyDesk, Atera, Splashtop und Remote Utilities).