Ein dunkles Rechenzentrum mit zahlreichen Servern
Ein dunkles Rechenzentrum mit zahlreichen Servern
Bildquelle: Gorodenkoff, Lizenz

Exchange Server hat Löcher wie ein Schweizer Käse

Zahlreiche Sicherheitslücken in Microsofts Exchange-Server öffnen Angreifern die Tür. Zuletzt auch der Ransomware Lockbit.

Angreifer haben eine Zero-Day-Schwachstelle in Microsofts Exchange-Server ausgenutzt, um darüber die Ransomware Lockbit zu installieren. Mit allen denkbaren Folgen, die das mit sich bringt. Bei der Suche nach der ausgenutzten Sicherheitslücke zeigt sich jedoch, dass Exchange ziemlich viele davon hat.

Lockbit Ransomware über Zero-Day-Schwachstelle installiert

Hacker nutzen eine Zero-Day-Lücke in Microsofts Exchange-Server aktiv aus, um darüber die populäre Ransomware Lockbit zu installieren. Durch einen untersuchten Vorfall vom Juli 2022 konnten Sicherheitsforscher eine von den Angreifern eingerichtete Web-Shell identifizieren. Dadurch verschafften sich die Cyberkriminellen administrative Rechte, um letztendlich 1,3 TB an Daten zu erbeuten und die Systeme zu verschlüsseln.

Laut BleepingComputer stellten die Forscher des Cybersecurity-Unternehmens AhnLab fest, dass die Angreifer nach Einrichtung der Web-Shell innerhalb von einer Woche ein Active-Directory-Administratorkonto kapern konnten.

Da das Opfer des Angriffs seine Server regelmäßig mit Sicherheitsupdates versorgte, gehen die Sicherheitsforscher davon aus, dass die Angreifer eine Zero-Day-Schwachstelle im Exchange-Server ausnutzten. Ihre Annahme untermauern sie damit, dass es nach Mai „keine Berichte über bekannte Schwachstellen im Zusammenhang mit Remote-Befehlen oder der Erstellung von Dateien“ gab. Und die Web-Shell wurde schließlich erst am 21. Juli erstellt.

Microsofts Exchange-Server hat weit mehr als nur eine Schwachstelle

Ein Sprecher von Microsoft teilte mit, der Konzern wolle den Vorfall untersuchen. Außerdem werde er alle erforderlichen Maßnahmen ergreifen, um seine Kunden zu schützen. Und obwohl der Softwaregigant bereits an zwei bekannten Sicherheitslücken (CVE-2022-41040, CVE-2022-41082) im Exchange-Server arbeitet, die das vietnamesische Sicherheitsunternehmen GTSC am 28. September aufdeckte, gehen die Forscher von AhnLab davon aus, dass es sich in dem von ihnen untersuchten Fall um eine andere Schwachstelle handeln könnte. Denn die Angriffstaktiken scheinen sich nicht zu überschneiden.

Dieser Umstand ist zwar keine Garantie dafür, dass der Angriff nicht doch auf den bekannten Lücken basiert. Doch Piotr Bazydlo, ein Sicherheitsforscher der Zero Day Initiative, untermauert die Annahmen der AhnLab-Forscher durch seine Entdeckung drei weiterer Schwachstellen im Exchange-Server (ZDI-CAN-18881, ZDI-CAN-18882 und ZDI-CAN-18932). Diese meldete er erst vor wenigen Wochen an Microsoft.

Microsoft selbst hat zu diesen drei Sicherheitslücken noch keinerlei Informationen veröffentlicht. Eine CVE-ID gibt es bisher ebenfalls nicht.

Die Tatsache, dass der Exchange-Server erst kürzlich zur Phishing-E-Mail-Schleuder mutierte, steht der etablierten Software auch nicht sonderlich gut zu Gesicht. Exchange hat ganz offensichtlich mehr als nur ein Sicherheitsproblem.

Über

Marc Stöckel hat nach seiner Ausbildung zum IT-Systemelektroniker und einem Studium im Bereich der technischen Informatik rund 5 Jahre als Softwareentwickler gearbeitet. Um seine technische Expertise sowie seine Sprachfertigkeiten weiter auszubauen, schreibt er seit dem Sommer 2022 regelmäßig Artikel zu den Themenbereichen Software, IT-Sicherheit, Datenschutz, Cyberkriminalität und Kryptowährungen.