Admins sollten die Proxy Shell Lücken im Exchange-Server mittels Sicherheitsupdates schließen.
Die Cyberkriminellen haben es derzeit auf Exchange-Server abgesehen und verschlüsseln geschäftsinterne Daten mit der Conti Ransomware. Sicherheitsupdates sind seit April verfügbar.
Sophos führt in ihrem Bericht an, das sie Attacken beobachten haben, bei denen die Cyberkriminellen die als „kritisch“ eingestuften ProxyShell bekannten Lücken CVE-2021-34473, CVE-2021-34523, CVE-2021-31207) verwenden, um sich systematisch im Netzwerk auszubreiten und Schadsoftware zu installieren. So ist des den Cyberkriminellen möglich die Authentifizierung zu umgehen, indem sie die Schachstelle nutzen und aus der Ferne angreifen. Sie verschaffen sich erhöhte Nutzerrechte und können ihren eigenen Code im System installieren.
Die Forscher von Sophos sprechen davon, dass die Cyberkriminellen in wenigen Tagen sieben Backdoors für spätere Zugriffe im System hinterlassen haben. Sie haben 1 TB an Daten kopiert und den Conti-Verschlüsselungstrojaner aktiviert.
Von den Cyberkriminellen wird die Autodiscovery Funktion eingesetzt, typischer weise mit einer Anfrage wie
https://Exchange-server/autodiscover/autodiscover.json?@foo.com/mapi/nspi/?&Email=autodiscover/autodiscover.json%3F@foo.com
Admins können Logdateien unter /autodiscover/autodiscover.json z.B. nach unbekannten E-Mailadressen durchsuchen um Angriffsversuche zu erkennen.
Schindler IT-Solutions GmbH – Zertifizierte Berater, Sophospartner und
Mitglied der Cybersecurity Hotline 0800 888 133 setzt seit mehr als 20 Jahren auf Datensicherheit.