Zero Day: 30.000 Firmen via Exchange-Lücke gehackt - allein in den USA
Die Angriffe auf Exchange-Server gehen auch nach Warnungen und Patches von Microsoft weiter.

Vier Zero Days im Mailserver Microsoft Exchange sollen in großem Stil ausgenutzt worden sein. Die Schätzungen schwanken zwischen Zehntausenden und Hunderttausenden betroffenen Organisationen. Laut Microsoft soll eine chinesische Hackergruppe hinter den Angriffen stecken. Diese sollen sogar ausgeweitet worden sein, nachdem Microsoft am 2. März eine Warnung und Patches veröffentlicht hatte.
Alle Organisationen, die zwischen dem 26. Februar und 3. März einen über das Internet erreichbaren Exchange-Server mit der Outlook Web App (OWA) betrieben hätten, müssten davon ausgehen, dass ihr Server kompromittiert wurde, warnte der ehemalige Direktor der Cybersecurity and Infrastructure Security Agency Chris Krebs auf Twitter. "Suchen Sie nach 8 Zeichen langen aspx-Dateien in C:\\inetpub\wwwroot\aspnet_client\system_web\. Wenn Sie bei dieser Suche einen Treffer erhalten, befinden Sie sich jetzt im Incident-Response-Modus."
30.000 gehackte Regierungseinrichtungen und Firmen allein in den USA
Nach Angaben des Journalisten Brian Krebs, der nicht mit dem oben genannten Chris Krebs verwandt ist, sollen die Angriffe bereits seit dem 6. Januar laufen. Gegen Ende Februar sollen sie jedoch deutlich ausgeweitet worden sein. Nach der Veröffentlichung der Patches und der Warnung von Microsoft sollen die Eindringlinge ihre Angriffe weiter verstärkt haben, um noch ungepatchte Systeme zu übernehmen.
Allein in den USA sollen laut Krebs 30.000 Regierungseinrichtungen und Firmen über die vier Zero Days gehackt worden sein. Darunter seien kleine Unternehmen oder Gemeinden, aber auch Polizeidienststellen, Krankenhäuser oder Kreditverwaltungen. Weltweit schätzt Krebs Hunderttausende betroffene Organisationen.
"Die Patches machen den Schaden nicht rückgängig"
"Das Problem ist, dass das Patchen der Schwachstellen nur die vier verschiedenen Wege blockiert, die die Hacker benutzen, um in das System zu gelangen. Aber es macht nichts von dem Schaden rückgängig, der vielleicht schon angerichtet wurde", sagte Steven Adair von der Sicherheitsfirma Volexity zu Brian Krebs.
Gehackt wurden demnach selbst gehostete Server mit Exchange Server 2013, 2016 oder 2019. Über die Sicherheitslücken richtet die chinesische Hackergruppe, die Microsoft Hafnium nennt, eine Webshell auf den betroffenen Systemen ein und kann sich so dauerhaft Zugriff auf sämtliche Daten des Exchange-Servers sichern. Anschließend werden E-Mail-Postfächer und Adressbücher ausgeleitet.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
- ohne Werbung
- mit ausgeschaltetem Javascript
- mit RSS-Volltext-Feed
trotzdem muss ich selbstkritisch eine Notiz hinzufügen: niemals irgendwelche Altprodukte...
Gibt genügend Berichte, dass die nicht unbedingt hilft.
Nachdem alle immer nur voneinander abschreiben der Hinweis, dass auch Exchange 2010...
Danke liebe Cracker - macht bitte weiter! Ohne eure Dienste wird die Menschheit nicht...
Bei der Hackergruppe und bei Microsoft. Da gibt es ein Skript, welches prüft, ob deine IT...
Kommentieren