Die Lücken in Exchange Server, für die es seit 2. März Patches gibt, ermöglichen es einem Angreifer, E-Mails von einem Exchange-Server zu lesen, ohne sich zu authentifizieren. Eine weitere Verkettung der Schwachstellen ermöglicht es, den Mail-Server selbst komplett zu übernehmen.
Nun kommt die Gefahr hinzu, dass die Daten verschlüsselt werden. Wie Microsoft auf Twitter meldet, würden Kriminelle nach einer anfänglichen Kompromittierung von ungepatchten lokalen Exchange-Servern Ransomware einsetzen. Man blockiere die Malware, die als Ransom:Win32/DoejoCrypt.A und auch als Dearcry bekannt sei.
IT-Admins wird dringend geraten, nicht nur die Patches einzuspielen, sondern auch zu überprüfen, ob ihre Systeme kompromittiert wurden. Palo Alto geht davon aus, dass Angreifer die Zero-Day-Schwachstelle mindestens zwei Monate ausgenutzt haben, bevor der Patch von Microsoft publiziert wurde.
Es gebe vollständige Exploits in freier Wildbahn, schreibt 'Malware Tech'. In einem gemeinsamen Advisory warnen die amerikanische Security-Behörde (CISA) und das FBI, dass Angreifer die Schwachstellen ausnutzen könnten, "um Netzwerke zu kompromittieren, Informationen zu stehlen, Daten für Lösegeld zu verschlüsseln oder sogar einen zerstörerischen Angriff auszuführen."
Die Security-Forscher von Check Point teilen mit, dass sich die Angriffe mehren. Die Zahl der versuchten Angriffe auf Unternehmen würden sich alle zwei bis drei Stunden verdoppeln. Am häufigsten im Visier stünden militärische und zivile Behörden sowie Unternehmen aus der Herstellungs- und Finanzbranche.
Auch hunderte von Schweizer Unternehmen sind betroffen. Das Nationale Zentrum für Cybersicherheit (NCSC) erhalte Meldungen zu erfolgreichen Angriffen, teilte dieses mit.
Palo Alto schreibt, dass es in der Schweiz 2500 allfällige Exchange Server gibt (per 11. März). Damit gehört das Land zu den Top 10 weltweit. Laut Kaspersky ist die Schweiz
eines der am häufigsten angegriffen Ländern.
Deutsche Ämter betroffen, in der Schweiz noch keine bekannt
Bei den Systemen der schweizerischen Bundesverwaltung sei das Einspielen der Patches frühzeitig begonnen worden und bereits abgeschlossen, schreibt uns das NCSC auf Anfrage. In der Bundesverwaltung bestehe eine Meldepflicht, "bisher sind dem NCSC keine Infektionen bekannt", so die Security-Behörde. Es würden zudem weitere Sofortmassnahmen umgesetzt, wie beispielsweise ein gezieltes Monitoring.
Zu den Opfern gehören eine Reihe von Behörden. Aus technischen Gründen sei das deutsche Umweltbundesamt bis auf Weiteres nicht über seine dienstlichen E-Mail-Adressen erreichbar. So heisst es auf der Website. Laut Informationen des Magazins 'Spiegel' liegt dies daran, dass das Amt von den Security-Problemen bei den Exchange-Servern betroffen sei. Laut einer Nachricht an die Mitarbeitenden, die dem Magazin vorliegt, muss eine neue Mailserverstruktur aufgebaut werden. Wie lange dies dauern werde, sie nicht bekannt, aber man gehe "mindestens von einem Zeitraum von drei Wochen" aus.
Insgesamt seien acht Behörden in Deutschland von dem Vorfall betroffen. Zwei davon seien kompromittiert, sprich Angreifer hätten eine Backdoor installiert, erklärt Sicherheitsexperte Tim-Philipp Schäfers von 'internetwache.org',
der den 'Spiegel' über die Schwachstelle bei einem der Ämter informiert hatte.