Exchange-Lücken: Microsoft warnt vor Ransomware

12. März 2021 um 16:35
  • security
  • cyberangriff
  • microsoft
  • schweiz
image

Noch immer sind 2500 Schweizer Exchange-Server löchrig. Das NCSC sagt: "Die Bundesverwaltung hat frühzeitig gepatcht."

Die Lücken in Exchange Server, für die es seit 2. März Patches gibt, ermöglichen es einem Angreifer, E-Mails von einem Exchange-Server zu lesen, ohne sich zu authentifizieren. Eine weitere Verkettung der Schwachstellen ermöglicht es, den Mail-Server selbst komplett zu übernehmen.
Nun kommt die Gefahr hinzu, dass die Daten verschlüsselt werden. Wie Microsoft auf Twitter meldet, würden Kriminelle nach einer anfänglichen Kompromittierung von ungepatchten lokalen Exchange-Servern Ransomware einsetzen. Man blockiere die Malware, die als Ransom:Win32/DoejoCrypt.A und auch als Dearcry bekannt sei.
'Bleeping Computer' berichtet von einem Dearcry-Opfer, bei dem die Ransomware-Gruppe ein Lösegeld in Höhe von 16'000 US-Dollar fordere. 
IT-Admins wird dringend geraten, nicht nur die Patches einzuspielen, sondern auch zu überprüfen, ob ihre Systeme kompromittiert wurden. Palo Alto geht davon aus, dass Angreifer die Zero-Day-Schwachstelle mindestens zwei Monate ausgenutzt haben, bevor der Patch von Microsoft publiziert wurde.
Es gebe vollständige Exploits in freier Wildbahn, schreibt 'Malware Tech'. In einem gemeinsamen Advisory warnen die amerikanische Security-Behörde (CISA) und das FBI, dass Angreifer die Schwachstellen ausnutzen könnten, "um Netzwerke zu kompromittieren, Informationen zu stehlen, Daten für Lösegeld zu verschlüsseln oder sogar einen zerstörerischen Angriff auszuführen."
Die Security-Forscher von Check Point teilen mit, dass sich die Angriffe mehren. Die Zahl der versuchten Angriffe auf Unternehmen würden sich alle zwei bis drei Stunden verdoppeln. Am häufigsten im Visier stünden militärische und zivile Behörden sowie Unternehmen aus der Herstellungs- und Finanzbranche.
Auch hunderte von Schweizer Unternehmen sind betroffen. Das Nationale Zentrum für Cybersicherheit (NCSC) erhalte Meldungen zu erfolgreichen Angriffen, teilte dieses mit.
Palo Alto schreibt, dass es in der Schweiz 2500 allfällige Exchange Server gibt (per 11. März). Damit gehört das Land zu den Top 10 weltweit. Laut Kaspersky ist die Schweiz eines der am häufigsten angegriffen Ländern

Deutsche Ämter betroffen, in der Schweiz noch keine bekannt

Bei den Systemen der schweizerischen Bundesverwaltung sei das Einspielen der Patches frühzeitig begonnen worden und bereits abgeschlossen, schreibt uns das NCSC auf Anfrage.  In der Bundesverwaltung bestehe eine Meldepflicht, "bisher sind dem NCSC keine Infektionen bekannt", so die Security-Behörde. Es würden zudem weitere Sofortmassnahmen umgesetzt, wie beispielsweise ein gezieltes Monitoring.
Zu den Opfern gehören eine Reihe von Behörden. Aus technischen Gründen sei das deutsche Umweltbundesamt bis auf Weiteres nicht über seine dienstlichen E-Mail-Adressen erreichbar. So heisst es auf der Website. Laut Informationen des Magazins 'Spiegel' liegt dies daran, dass das Amt von den Security-Problemen bei den Exchange-Servern betroffen sei. Laut einer Nachricht an die Mitarbeitenden, die dem Magazin vorliegt, muss eine neue Mailserverstruktur aufgebaut werden. Wie lange dies dauern werde, sie nicht bekannt, aber man gehe "mindestens von einem Zeitraum von drei Wochen" aus.
Insgesamt seien acht Behörden in Deutschland von dem Vorfall betroffen. Zwei davon seien kompromittiert, sprich Angreifer hätten eine Backdoor installiert, erklärt Sicherheitsexperte Tim-Philipp Schäfers von 'internetwache.org', der den 'Spiegel' über die Schwachstelle bei einem der Ämter informiert hatte. 

Loading

Mehr zum Thema

image

Europäische Behörden verhaften Mitglieder der Ransomware-Bande Lockbit

Die internationale "Operation Cronos" gegen Lockbit läuft weiter. Vier Personen wurden festgenommen, weitere Server beschlagnahmt.

publiziert am 2.10.2024
image

Deutscher Verfassungsschutz warnt vor IT-Fachkräften aus Nordkorea

Die Behörde schreibt, die Arbeiter würden ihre Herkunft verschleiern und gestohlene Identitäten nutzen, um Aufträge zu erhalten.

publiziert am 1.10.2024
image

EU-Datenschützer büssen Meta mit 91 Millionen Euro

Der Social-Media-Konzern speicherte Passwörter im Klartext. Nach einer Untersuchung der irischen Datenschutzbehörde wird Meta gebüsst.

publiziert am 30.9.2024
image

Zürcher Finanzhaus von Ransomware-Gruppe Play angegriffen

Nach einem Datenklau sind Bundes­anwalt­schaft und Finanz­markt­aufsicht Finma aktiv.

publiziert am 27.9.2024