Das Tool, das Microsoft kürzlich zur Absicherung von Exchange-Servern publizierte, wird zumindest in den USA auch genutzt. Dies sagte eine Sprecherin des National Security Council dem News-Unternehmen 'Bloomberg'. Das "Exchange On-Premises Mitigation Tool" (EOMT) sei seit letzter Woche 25'000 Mal heruntergeladen worden.

In Kombination mit dem Einspielen der neuesten Exchange-Version soll das EOMT die ausgenützten Lücken bei der Sicherung von anfälligen Servern unterstützen. Es prüfe, ob der Server für die ProxyLogon-Schwachstellen anfällig ist und beseitige die höchst gefährliche Lücke CVE-2021-26855 automatisch. Ausserdem lade es den Microsoft Safety Scanner herunter und führe ihn aus, um bekannte Web-Shells und andere bösartige Skripte zu entfernen, die über diese Sicherheitslücken installiert wurden. Das Skript entferne dann alle gefundenen bösartigen Dateien.

Aus Deutschland meldet das Bundesamt für Sicherheit in der Informationstechnik (BSI) laut 'ZDF', dass 10 kriminelle Organisationen die Schwachstellen aktuell ausnützen. Teilweise waren sie schon am Werk, bevor die Lücke gepatcht wurde und wurden möglicherweise bis heute nicht entdeckt.

Derweil scheint der Computer-Hersteller Acer eine rekordverdächtige 50-Millionen-Dollar-Lösgeldforderung nach einer Ransomware-Attacke erhalten haben, melden 'Bleeping Computer' und andere Medien.

Der Konzern habe sich die Ransomware REvil eingefangen und diese habe diverse Daten verschlüsselt. Die Gruppe beweise den Hack anhand von Screenshots von Finanzdaten, Banksalden und -kommunikation, so die Security-Zeitung.

Acer spricht nicht von Ransomware, sondern von einer "ungewöhnlichen Situation". "Acer überwacht seine IT-Systeme routinemässig, und die meisten Cyberangriffe werden gut abgewehrt. Unternehmen wie wir sind ständig Angriffen ausgesetzt, und wir haben die in letzter Zeit beobachteten ungewöhnlichen Situationen an die zuständigen Strafverfolgungs- und Datenschutzbehörden in mehreren Ländern gemeldet."

"Wir haben unsere Cybersicherheits-Infrastruktur kontinuierlich verbessert, um die Business-Kontinuität und unsere Informationsintegrität zu schützen. Wir fordern alle Unternehmen und Organisationen dazu auf, sich an Cybersicherheits-Disziplinen und Best Practices zu halten und bei Anomalien von Netzwerkaktivitäten wachsam zu sein."

Ein Vertreter einer Securityfirma namens Advintel sagte gegenüber 'Bleeping Computer', kürzlich habe man bemerkt, dass ein REvil-Mitglied versuche, die Exchange-Lücke bei Acer auszunutzen. Ein Screenshot soll dies beweisen. Ob dieser Angriff gelang oder ob die Hacker eine andere Lücke fanden, ist bis anhin unbekannt.