Intrusions
Hierunter fallen alle Arten von "Einbrüchen", egal, ob sie physisch oder virtuell passieren.
Exchange Webshell (CVE-2021-26855)
Beschreibung
Am 2. März 2021 wurden Notfallpatches für Microsoft Exchange, Microsofts E-Mail-Server, veröffentlicht, die bereits aktiv ausgenutzt wurden.[0] AngreiferInnen gingen schnell dazu über, auf allen verwundbaren Installationen, die über das Internet erreichbar waren, Webshells zu installieren, um ihren Zugriff zu sichern und potentiell zu einem späteren Zeitpunkt wiederkommen zu können, um weitere Schritte zu setzen.
Risiken
- AngreiferInnen haben Zugriff auf Ihren Exchange Server und können darauf beliebige Programme ausführen, E-Mails lesen und das Betriebssystem verändern.
- Sofern Ihr internes Netzwerk oder Teile davon über den Exchange Server erreichbar sind, können AngreiferInnen über diesen in Ihr internes Netzwerk eindringen und dort beliebige weitere Schritte setzen, wie z.B. Ransomware installieren oder Daten stehlen.
Behebung
- Benutzen Sie das von Microsoft zur Verfügung gestellte Exchange On-premises Mitigation Tool (EOMT), das Ihren Server nicht nur gegen zukünfige Angriffe absichert, sondern auch alle Webshells, die Microsoft erkennt, entfernt.
- Microsoft kann natürlich nur Webshells erkennen und entfernen, die bekannt sind. Sollten Sie den Verdacht haben, dass bereits weitere Schritte gesetzt wurden, oder Kriminelle nach wie vor Zugriff auf Ihren Exchange Server haben, empfiehlt es sich, eine forensische Analyse Ihres Exchange Servers durchzuführen und Ihr Netzwerk auf verdächtige Aktivitäten zu monitoren.
[0]: https://msrc-blog.microsoft.com/2021/03/02/multiple-security-updates-released-for-exchange-server/