Microsoft: Mit einem Klick Exchange von gängiger Schadsoftware befreien

Mit einem One-Click-Tool von Microsoft sollen Admins ihre Exchange-Installationen überprüfen und gängige Schadsoftware entfernen können.

Artikel veröffentlicht am ,
Auch zwei Wochen nach der Veröffentlichtung sind viele Exchange-Server nicht gepatcht oder von Schadsoftware befreit.
Auch zwei Wochen nach der Veröffentlichtung sind viele Exchange-Server nicht gepatcht oder von Schadsoftware befreit. (Bild: Gerd Altmann/Pixabay)

Trotz eines Anfang März veröffentlichten Updates und massiver Angriffe wurden immer noch nicht alle Exchange Server von den zuständigen Admins gepatcht und auf etwaige Angriffe untersucht. Um dies zu vereinfachen, hat Microsoft nun ein One-Click-Tool veröffentlicht. Die Proxylogon genannten Lücken werden genutzt, um eine Webshell zu installieren, E-Mails abzugreifen oder seit kurzem auch von einer Dearcry genannten Ransomware und Kryptominern.

Stellenmarkt
  1. Teamleiter IT - SAP Basis (m/w/d)
    GILDEMEISTER Beteiligungen GmbH, Bielefeld, Pfronten
  2. System Administrator Infrastructure (m/f/d)
    CETITEC GmbH, Pforzheim
Detailsuche

"Basierend auf [unseren Support-Einsätzen] haben wir erkannt, dass es einen Bedarf für eine einfache, leicht zu bedienende, automatisierte Lösung gibt, die die Anforderungen von Kunden erfüllt, die sowohl aktuelle als auch nicht mehr unterstützte Versionen von On-Premises Exchange Server verwenden", erklärt Microsoft in einem Blog-Eintrag.

On-premises Mitigation Tool (EOMT) erkennt und entfernt gängige Exchange-Schadsoftware

Das On-premises Mitigation Tool (EOMT) checkt in einem ersten Schritt, ob ein Exchange-Server über die Proxylogon-Sicherheitslücken verwundbar ist und versucht, sofern nötig, die Server-Side-Request-Forgery-Lücke (SSRF) (CVE-2021-26855) durch die Installation eines URL-Rewrite-Moduls und entsprechender Regeln zu beheben.

In einem letzten Schritt wird die Software Microsoft Safety Scanner heruntergeladen und ausgeführt, welche bekannte Webshells und ähnliche Schadsoftware auf dem Exchange-Server erkennen und entfernen soll. Unter C:\EOMTSummary.txt können die Admins ein Protokoll der durchgeführten Schritte einsehen.

Golem Akademie
  1. Adobe Photoshop für Social Media Anwendungen: virtueller Zwei-Tage-Workshop
    29./30.06.2022, virtuell
  2. Einführung in Unity: virtueller Ein-Tages-Workshop
    21.06.2022, Virtuell
Weitere IT-Trainings

Eine forensische Analyse kann das Tool nicht ersetzen, entsprechende Fachleute sind jedoch im Moment immens gefragt. Demzufolge richtet sich das Tool vor allem an kleine und mittelständische Unternehmen, die sich keine eigene Security-Abteilung leisten können. Das EOMT-Powershellskript stellt Microsoft gemeinsam mit weiteren Tools auf Github zur Verfügung.

Impf-Behörde Paul-Ehrlich-Institut gehackt

Unter den betroffenen Bundesbehörden in Deutschland ist auch das Paul-Ehrlich-Institut (PEI) in Langen bei Frankfurt, das für Impfstoffe zuständig ist. Dort soll laut dem Magazin der Spiegel bereits Schadsoftware installiert worden sein. Unklar ist, ob das PEI gezielt angegriffen oder Teil eines automatisierten Massenhacks wurde. Auch die Bundesanstalt für Verwaltungsdienstleistungen und das Umweltbundesamt (UBA) sind betroffen.

Allein in den USA sollen 30.000 Exchange-Server gehackt worden sein. Der ehemalige Direktor der Cybersecurity and Infrastructure Security Agency Chris Krebs geht jedoch von deutlich höheren Zahlen aus. Weltweit dürften hunderttausende Server betroffen sein. Verantwortlich für die Angriffe soll eine chinesische Hackergruppe sein, die Microsoft Hafnium nennt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Kitty Lixo
Nach Sex mit Mitarbeitern Instagram-Account zurückerhalten

Laut einer Sexdarstellerin muss man nur die richtigen Leute bei Facebook sehr intim kennen, um seinen Instagram-Account immer wieder zurückzubekommen.

Kitty Lixo: Nach Sex mit Mitarbeitern Instagram-Account zurückerhalten
Artikel
  1. Ebay-Kleinanzeigen: Im Chat mit den Phishing-Betrügern
    Ebay-Kleinanzeigen
    Im Chat mit den Phishing-Betrügern

    Wenn man bestimmte Anzeigen in Kleinanzeigenportalen aufgibt, hat man sofort einen Betrüger an der Backe. Die Polizei kann kaum etwas dagegen tun.
    Ein Bericht von Friedhelm Greis

  2. Autos: Mercedes' Luxuskurs könnte das Aus für A- und B-Klasse sein
    Autos
    Mercedes' Luxuskurs könnte das Aus für A- und B-Klasse sein

    Mercedes definiert sich neu als Luxuskonzern. Das könnte auch das Ende für die Einsteiger-Modelle bedeuten, weil mit diesen kaum Geld zu verdienen ist.

  3. Ericsson und Telia Norway: Fast 4 GBit/s in 26-GHz-Netz erreicht
    Ericsson und Telia Norway
    Fast 4 GBit/s in 26-GHz-Netz erreicht

    26-GHz-Netz-Antennen erreichen in Norwegen Höchstwerte bei der Datenübertragung. Die 5G-Ausrüstung kommt von Ericsson.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Cyber Week: Bis zu 87€ Rabatt auf SSDs • PNY RTX 3080 12GB günstig wie nie: 974€ • Razer Basilisk V3 Gaming-Maus 44,99€ • PS5-Controller + Samsung SSD 1TB 176,58€ • MindStar (u. a. MSI RTX 3090 24GB Suprim X 1.790€) • Gigabyte Waterforce Mainboard günstig wie nie: 464,29€ [Werbung]
    •  /