Microsoft: Exchange Server von gut versteckter Hintertür betroffen

Sicherheitsforscher haben eine Backdoor gefunden, die zuvor gehackte Exchange-Server seit 15 Monaten zugänglich hält.

Artikel veröffentlicht am ,
Hintertür in Exchange
Hintertür in Exchange (Bild: Erich Ferdinand via flickr/CC-BY 2.0)

Sicherheitsforscher von Kaspersky haben eine Malware mit dem Namen Sessionmanager entdeckt, die sich als legitimes Modul für Microsofts Internet Information Services (IIS) ausgibt. IIS wird als Webserver standardmäßig auf Exchange-Servern installiert.

Stellenmarkt
  1. Ph.D. Students / Graduate Research Assistants / Graduate Research Associates at the Chair of ... (m/w/d)
    Universität Passau, Passau
  2. IT-Mitarbeiter (m/w/d) 1st and 2nd Level Support
    RAMPF Holding GmbH & Co. KG, Grafenberg (bei Metzingen)
Detailsuche

Insgesamt fanden die Kaspersky-Mitarbeiter 34 infizierte Server, die zu 24 unterschiedlichen Organisationen gehören. Die Infektionen mit Sessionmanager bestehen den Angaben zufolge teilweise bereits seit März 2021.

Einmal installiert, erlauben es bösartige IIS-Module, mit ganz normal aussehenden HTTP-Requests die Kontrolle über die Server auszuüben.

IIS-Module sind eine ideale Möglichkeit für versteckte und persistente Hintertüren

"Infolgedessen sind solche Module durch übliche Überwachungspraktiken nicht leicht zu erkennen: Sie initiieren nicht unbedingt verdächtige Kommunikationen mit externen Servern, empfangen Befehle über HTTP-Anforderungen an einen Server, der spezifisch für solche Prozesse vorgesehen ist", erklärte Pierre Delcher von Kaspersky. Dazu würden die Dateien eines solchen Moduls an Orten abgelegt, "die viele andere legitime Dateien enthalten". Dadurch fielen weder die Dateien selbst noch die Kommunikation mit dem infizierten Server im Monitoring auf.

Golem Karrierewelt
  1. Container Technologie: Docker und Kubernetes - Theorie und Praxis: virtueller Drei-Tage-Workshop
    27.-29.09.2022, virtuell
  2. Deep-Dive Kubernetes – Production Grade Deployments: virtueller Ein-Tages-Workshop
    20.09.2022, Virtuell
Weitere IT-Trainings

Sessionmanager ist in C++ geschrieben und erlaubt es, beliebige Dateien auf dem Server zu lesen, zu schreiben, auszuführen und zu löschen. Dazu können Verbindungen zu erreichbaren Netzwerk-Endpunkten aufgebaut werden. Das Modul wurde bisher in vier Varianten gefunden, die neueste Variante stammt aber auch schon aus dem September 2021.

Als Unterschiede in den Versionen nannte Kaspersky, dass V0 und V1 Request- und Antwortdaten nicht verschlüssele oder verschleiere, V2 und V3 aber die Übergabe eines XOR-Keys unterstützten, der zum Codieren des Ergebnisses verwendet werde.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Elektromobilität
Wohnmobile werden unter Strom gesetzt

Auf dem Caravan-Salon in Düsseldorf werden die ersten Wohnmobile mit Elektroantrieb gezeigt. Doch die Branche tut sich schwer mit der Antriebswende.
Ein Bericht von Franz W. Rother

Elektromobilität: Wohnmobile werden unter Strom gesetzt
Artikel
  1. Aonic übernimmt Exmox: Hamburger Adtech-Start-up für 100 Millionen Euro verkauft
    Aonic übernimmt Exmox
    Hamburger Adtech-Start-up für 100 Millionen Euro verkauft

    Mit der schwedischen Aonic Group investiert nach Unity ein weiteres Unternehmen in die Monetarisierung von Mobilegames.

  2. Hacking: Der Bad-USB-Stick Rubber Ducky wird noch gefährlicher
    Hacking
    Der Bad-USB-Stick Rubber Ducky wird noch gefährlicher

    Mit einer neuen Version des Bad-USB-Sticks Rubber Ducky lassen sich Rechner noch leichter angreifen und neuerdings auch heimlich Daten ausleiten.

  3. Nuvia: Qualcomm will erneut Server-CPUs bauen
    Nuvia
    Qualcomm will erneut Server-CPUs bauen

    Neuer Anlauf nach den gescheiterten Centriq 2400: Qualcomm soll an Server-Chips mit Nuvia-Kernen arbeiten, Unterstützung gibt es von Amazon.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • MindStar (MSI RTX 3090 Gaming 1.269€, Seagate Festplatte ext. 18 TB 295€) • PS5-Deals (Uncharted Legacy of Thieves 15,38€, Horzizon FW 39,99€) • HP HyperX Gaming-Maus -51% • Alternate (Kingston Fury DDR5-6000 32GB 219,90€ statt 246€) • Samsung Galaxy S22+ 5G 128 GB 839,99€ [Werbung]
    •  /