Cyberangriffe auf Microsoft Exchange Server: Sicherheitslücken und ihre Folgen

LONDON (IT BOLTWISE) – In einer zunehmend digitalisierten Welt sind Unternehmen und Institutionen immer häufiger Ziel von Cyberangriffen. Jüngste Berichte zeigen, dass über 70 Microsoft Exchange Server weltweit von Hackern ins Visier genommen wurden, um sensible Zugangsdaten zu stehlen.

Die jüngsten Cyberangriffe auf Microsoft Exchange Server verdeutlichen die anhaltende Bedrohung durch Sicherheitslücken in weit verbreiteter Software. Unbekannte Angreifer haben es geschafft, Schadcode in die Anmeldeseiten dieser Server zu injizieren, um Zugangsdaten zu stehlen. Diese Angriffe, die von der russischen Sicherheitsfirma Positive Technologies untersucht wurden, zeigen, wie anfällig öffentlich zugängliche Server für solche Bedrohungen sind.

Die Angreifer nutzen bekannte Schwachstellen, wie die ProxyShell-Exploits, um Keylogger in die Anmeldeseiten der Exchange Server einzuschleusen. Diese Keylogger sind in JavaScript geschrieben und sammeln Anmeldedaten, die entweder lokal gespeichert oder direkt an externe Server gesendet werden. Diese Methode ermöglicht es den Angreifern, unbemerkt zu bleiben, da kein ausgehender Datenverkehr erforderlich ist, um die gestohlenen Informationen zu übertragen.

Positive Technologies hat festgestellt, dass 65 Opfer in 26 Ländern betroffen sind, darunter Regierungsbehörden, Banken, IT-Unternehmen und Bildungseinrichtungen. Die Angriffe markieren eine Fortsetzung einer Kampagne, die erstmals im Mai 2024 dokumentiert wurde und sich auf Ziele in Afrika und dem Nahen Osten konzentrierte. Bereits damals wurden mindestens 30 Opfer identifiziert, wobei die ersten Kompromittierungen bis ins Jahr 2021 zurückreichen.

Zu den ausgenutzten Schwachstellen gehören unter anderem CVE-2014-4078, CVE-2020-0796 und die ProxyLogon-Exploits CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 und CVE-2021-27065. Diese Schwachstellen ermöglichen es Angreifern, die Kontrolle über die Server zu übernehmen und Schadcode auszuführen. Die Sicherheitsforscher Klimentiy Galkin und Maxim Suslov betonen, dass die Angreifer durch das Einbetten von Schadcode in legitime Anmeldeseiten über lange Zeiträume unentdeckt bleiben können.

Besonders besorgniserregend ist die Tatsache, dass viele Microsoft Exchange Server im Internet weiterhin für ältere Schwachstellen anfällig sind. Die Angreifer nutzen diese Gelegenheiten, um unbemerkt Zugangsdaten in Klartext zu erfassen. Einige Varianten der Keylogger sammeln zusätzlich Benutzer-Cookies, User-Agent-Strings und Zeitstempel, was die Nachverfolgung der Aktivitäten der Benutzer erleichtert.

Ein weiteres bemerkenswertes Merkmal der Angriffe ist die Verwendung von Telegram-Bots als Exfiltrationspunkt. Die gestohlenen Anmeldedaten werden dabei über XHR GET-Anfragen mit codierten Login- und Passwortinformationen an den Bot gesendet. Alternativ wird ein DNS-Tunnel in Verbindung mit einer HTTPS-POST-Anfrage verwendet, um die Anmeldedaten zu übertragen und die Sicherheitsmaßnahmen der Organisationen zu umgehen.

Die Angriffe haben weltweit für Aufsehen gesorgt, insbesondere in Ländern wie Vietnam, Russland, Taiwan, China, Pakistan, Libanon, Australien, Sambia, den Niederlanden und der Türkei, die zu den am stärksten betroffenen Regionen gehören. Die Sicherheitsforscher warnen davor, dass viele Exchange Server weiterhin anfällig sind und fordern Unternehmen auf, ihre Systeme regelmäßig zu aktualisieren und zu sichern, um solche Bedrohungen zu minimieren.

Unseren KI-Morning-Newsletter «Der KI News Espresso» mit den besten KI-News des letzten Tages gratis per eMail - ohne Werbung: Hier kostenlos eintragen!