Microsoft: Exchange Server von gut versteckter Hintertür betroffen

Sicherheitsforscher haben eine Backdoor gefunden, die zuvor gehackte Exchange-Server seit 15 Monaten zugänglich hält.

Artikel veröffentlicht am ,
Hintertür in Exchange
Hintertür in Exchange (Bild: Erich Ferdinand via flickr/CC-BY 2.0)

Sicherheitsforscher von Kaspersky haben eine Malware mit dem Namen Sessionmanager entdeckt, die sich als legitimes Modul für Microsofts Internet Information Services (IIS) ausgibt. IIS wird als Webserver standardmäßig auf Exchange-Servern installiert.

Stellenmarkt
  1. Softwareentwickler:in mit Schwerpunkt Jitsi (w/m/d)
    Nordeck IT + Consulting GmbH, Hamburg
  2. Informatiker / Fachinformatiker als IT System- und Netzwerkadministrator (m/w/d)
    UTT Technische Textilien GmbH & Co KG, Krumbach
Detailsuche

Insgesamt fanden die Kaspersky-Mitarbeiter 34 infizierte Server, die zu 24 unterschiedlichen Organisationen gehören. Die Infektionen mit Sessionmanager bestehen den Angaben zufolge teilweise bereits seit März 2021.

Einmal installiert, erlauben es bösartige IIS-Module, mit ganz normal aussehenden HTTP-Requests die Kontrolle über die Server auszuüben.

IIS-Module sind eine ideale Möglichkeit für versteckte und persistente Hintertüren

"Infolgedessen sind solche Module durch übliche Überwachungspraktiken nicht leicht zu erkennen: Sie initiieren nicht unbedingt verdächtige Kommunikationen mit externen Servern, empfangen Befehle über HTTP-Anforderungen an einen Server, der spezifisch für solche Prozesse vorgesehen ist", erklärte Pierre Delcher von Kaspersky. Dazu würden die Dateien eines solchen Moduls an Orten abgelegt, "die viele andere legitime Dateien enthalten". Dadurch fielen weder die Dateien selbst noch die Kommunikation mit dem infizierten Server im Monitoring auf.

Golem Karrierewelt
  1. AZ-104 Microsoft Azure Administrator: virtueller Vier-Tage-Workshop
    19.-22.09.2022, virtuell
  2. Hands-on C# Programmierung: virtueller Zwei-Tage-Workshop
    13./14.09.2022, virtuell
Weitere IT-Trainings

Sessionmanager ist in C++ geschrieben und erlaubt es, beliebige Dateien auf dem Server zu lesen, zu schreiben, auszuführen und zu löschen. Dazu können Verbindungen zu erreichbaren Netzwerk-Endpunkten aufgebaut werden. Das Modul wurde bisher in vier Varianten gefunden, die neueste Variante stammt aber auch schon aus dem September 2021.

Als Unterschiede in den Versionen nannte Kaspersky, dass V0 und V1 Request- und Antwortdaten nicht verschlüssele oder verschleiere, V2 und V3 aber die Übergabe eines XOR-Keys unterstützten, der zum Codieren des Ergebnisses verwendet werde.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Reklame: Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon
Aktuell auf der Startseite von Golem.de
Kabelnetz
Vodafone setzt neuartige Antennendosen ein

Ohne Radioport kommt die neue Antennendose und ist damit schon für DOCSIS 4.0 vorbereitet. Doch sie soll bereits jetzt Vorteile für Vodafone-Kunden bringen.

Kabelnetz: Vodafone setzt neuartige Antennendosen ein
Artikel
  1. Hybridmagnet: Chinesische Forscher erzeugen Rekord-Magnetfeld
    Hybridmagnet
    Chinesische Forscher erzeugen Rekord-Magnetfeld

    Mit einem Hybridmagneten hat ein Team in China einen Rekord aus den USA für das stärkste stabile Magnetfeld überboten.

  2. Einstieg in Microsoft Azure
     
    Einstieg in Microsoft Azure

    Microsoft Azure gehört zu den am stärksten verbreiteten Cloudlösungen für Unternehmen. Mit dem Workshop der Golem Karrierewelt gelingt der Einstieg auf die komplexe Plattform.
    Sponsored Post von Golem Karrierewelt

  3. MacTigr: Das Keyboard präsentiert mechanische Mac-Tastatur
    MacTigr
    Das Keyboard präsentiert mechanische Mac-Tastatur

    Die MacTigr ist eine speziell für Mac-Nutzer gedachte mechanische Tastatur mit USB-Hub, Cherry-Switches und Metallgehäuse.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Günstig wie nie: Zotac RTX 3080 12GB 829€, Mac mini 16GB 1.047,26€, Samsung SSD 1TB/2TB (PS5) 111€/199,99€ • MindStar (Sapphire RX 6900XT 939€, G.Skill DDR4-3200 32GB 98€) • PS5 bestellbar • Games für PS5/PS4 bis 84% günstiger • Bester 2.000€-Gaming-PC[Werbung]
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /