Exchange-Lücken: Microsoft warnt vor Ransomware

12. März 2021 um 16:35
  • security
  • cyberangriff
  • microsoft
  • schweiz
image

Noch immer sind 2500 Schweizer Exchange-Server löchrig. Das NCSC sagt: "Die Bundesverwaltung hat frühzeitig gepatcht."

Die Lücken in Exchange Server, für die es seit 2. März Patches gibt, ermöglichen es einem Angreifer, E-Mails von einem Exchange-Server zu lesen, ohne sich zu authentifizieren. Eine weitere Verkettung der Schwachstellen ermöglicht es, den Mail-Server selbst komplett zu übernehmen.
Nun kommt die Gefahr hinzu, dass die Daten verschlüsselt werden. Wie Microsoft auf Twitter meldet, würden Kriminelle nach einer anfänglichen Kompromittierung von ungepatchten lokalen Exchange-Servern Ransomware einsetzen. Man blockiere die Malware, die als Ransom:Win32/DoejoCrypt.A und auch als Dearcry bekannt sei.
'Bleeping Computer' berichtet von einem Dearcry-Opfer, bei dem die Ransomware-Gruppe ein Lösegeld in Höhe von 16'000 US-Dollar fordere. 
IT-Admins wird dringend geraten, nicht nur die Patches einzuspielen, sondern auch zu überprüfen, ob ihre Systeme kompromittiert wurden. Palo Alto geht davon aus, dass Angreifer die Zero-Day-Schwachstelle mindestens zwei Monate ausgenutzt haben, bevor der Patch von Microsoft publiziert wurde.
Es gebe vollständige Exploits in freier Wildbahn, schreibt 'Malware Tech'. In einem gemeinsamen Advisory warnen die amerikanische Security-Behörde (CISA) und das FBI, dass Angreifer die Schwachstellen ausnutzen könnten, "um Netzwerke zu kompromittieren, Informationen zu stehlen, Daten für Lösegeld zu verschlüsseln oder sogar einen zerstörerischen Angriff auszuführen."
Die Security-Forscher von Check Point teilen mit, dass sich die Angriffe mehren. Die Zahl der versuchten Angriffe auf Unternehmen würden sich alle zwei bis drei Stunden verdoppeln. Am häufigsten im Visier stünden militärische und zivile Behörden sowie Unternehmen aus der Herstellungs- und Finanzbranche.
Auch hunderte von Schweizer Unternehmen sind betroffen. Das Nationale Zentrum für Cybersicherheit (NCSC) erhalte Meldungen zu erfolgreichen Angriffen, teilte dieses mit.
Palo Alto schreibt, dass es in der Schweiz 2500 allfällige Exchange Server gibt (per 11. März). Damit gehört das Land zu den Top 10 weltweit. Laut Kaspersky ist die Schweiz eines der am häufigsten angegriffen Ländern

Deutsche Ämter betroffen, in der Schweiz noch keine bekannt

Bei den Systemen der schweizerischen Bundesverwaltung sei das Einspielen der Patches frühzeitig begonnen worden und bereits abgeschlossen, schreibt uns das NCSC auf Anfrage.  In der Bundesverwaltung bestehe eine Meldepflicht, "bisher sind dem NCSC keine Infektionen bekannt", so die Security-Behörde. Es würden zudem weitere Sofortmassnahmen umgesetzt, wie beispielsweise ein gezieltes Monitoring.
Zu den Opfern gehören eine Reihe von Behörden. Aus technischen Gründen sei das deutsche Umweltbundesamt bis auf Weiteres nicht über seine dienstlichen E-Mail-Adressen erreichbar. So heisst es auf der Website. Laut Informationen des Magazins 'Spiegel' liegt dies daran, dass das Amt von den Security-Problemen bei den Exchange-Servern betroffen sei. Laut einer Nachricht an die Mitarbeitenden, die dem Magazin vorliegt, muss eine neue Mailserverstruktur aufgebaut werden. Wie lange dies dauern werde, sie nicht bekannt, aber man gehe "mindestens von einem Zeitraum von drei Wochen" aus.
Insgesamt seien acht Behörden in Deutschland von dem Vorfall betroffen. Zwei davon seien kompromittiert, sprich Angreifer hätten eine Backdoor installiert, erklärt Sicherheitsexperte Tim-Philipp Schäfers von 'internetwache.org', der den 'Spiegel' über die Schwachstelle bei einem der Ämter informiert hatte. 

Loading

Mehr erfahren

Mehr zum Thema

image

ETH-Forschende tricksen Easyride der SBB aus

Den Standortdaten eines Smartphones sollte nicht vertraut werden, bilanzieren ETH-Forschende nach einem Experiment, das es ihnen ermöglichte, gratis Zug zu fahren.

publiziert am 15.5.2024
image

Noch mehr Daten von Dell gestohlen

Dell ist von einem grossen Data Breach betroffen. Jetzt behauptet der verantwortliche Hacker, auch noch ein anderes System geknackt zu haben.

publiziert am 15.5.2024
image

Datenleck bei BFH betrifft 9600 Kursteilnehmende

Die Berner Fachhochschule (BFH) hat eigenen Angaben zufolge sofort reagiert und die Betroffenen informiert.

publiziert am 14.5.2024
image

Sicherheitsbehörden warnen eindringlich vor Ransomware-Bande Black Basta

Black Basta hat sich auch in der Schweiz zu zahlreichen Angriffen bekannt. Ein neues Advisory von US-Behörden enthält Details zum Vorgehen der Cyberkriminellen.

publiziert am 13.5.2024 1