23.11.2021 17:25
Kompromittierte Exchange Server versenden E-Mails mit Malware
In den letzten zwei Monaten (Oktober, November) ist ein erhöhtes Aufkommen an E-Mails mit Malware im Anhang oder als Link im Textbereich, der direkt von kompromittierten on-premise Exchange Servern versendet wird, zu beobachten.
Diese E-Mails sind schwer zu detektieren, da sie von legitimen Unternehmensadressen auf Antwort einer real zuvor stattgefundenen Unterhaltung erfolgen.
Hier ist also erhöhte Vorsicht geboten.
Da es dieses Jahr zu einer hohen Anzahl an kritischen Schwachstellen (ProxyLogon, ProxyShell, ...) im Bereich Exchange on-premise gekommen ist, kann davon ausgegangen werden, dass viele der Kompromittierungen durch diese erfolgt sind, da Exploit-Code in vielen Fällen sehr zeitnahe verfügbar und dadurch rechtzeitiges Patchen eine Herausforderung war. Selbst wenn das Einspielen der Patches in relativer zeitlicher Nähe zum Bekanntwerden der Schwachstellen stattgefunden hat, ist eine Kompromittierung nicht auszuschließen und wird durch einen Patch auch nicht beseitigt.
Wir haben in den letzten Monaten zahlreiche Betreiber von Exchange on-premise laufend über identifizierbare Schwachstellen informiert. Bis dato können wir noch immer einige verwundbare Systeme in Österreich feststellen. Einige mögen Honeypots zur Detektion von Angriffen auf Exchange sein.
Wir wiederholen aber mit Nachdruck die Wichtigkeit Exchange on-premise Systeme aktuell zu halten und diese in der aktuellen Phase selbst nach Einspielen kritischer Patches einer rigiden Untersuchung auf Spuren einer Kompromittierung zu unterziehen.
Zur starken Verminderung der Angriffsfläche sollte ein Zugriff auf die Web-Komponenten (Outlook Web Access, Exchange Admin Center, ...) dieser Systeme nie direkt aus dem Internet, sondern ausschließlich über zum Beispiel virtuelle private Netzwerke (VPN) mit Zwei-Faktor-Authentifizierung (2FA) erfolgen.
Neben der hier thematisierten Möglichkeit, dass der eigene Exchange zur Malware-Schleuder wird und den damit einhergehenden Reputationsschaden, werden diese Systeme auch als Ausgangspunkt für weitreichendere Angriffe, wie zum Beispiel Ransomware, benutzt.