ClickCease MS Exchange Server-Schwachstelle: Einsatz von Keyloggern aufgedeckt

Prüfen Sie den Status von CVEs. Mehr erfahren.

Inhaltsübersicht

Abonnieren Sie unseren beliebten Newsletter

Schließen Sie sich 4.500+ Linux- und Open-Source-Experten an!

2x im Monat. Kein Spam.

Folgen Sie uns auf Social

TuxCare Blog

MS Exchange Server-Schwachstelle: Einsatz von Keyloggern aufgedeckt

von Wajahat Raja

5. Juni 2024. TuxCare-Expertenteam

Kürzlich wurde bekannt, dass ein nicht identifizierter bösartiger Akteur Schwachstellen in Microsoft Exchange Server ausnutzt, um Systeme mit einer Keylogger-Malware zu infiltrieren. Keylogger-Malwarezu infiltrieren und verschiedene Einrichtungen in Afrika und dem Nahen Osten anzugreifen. Nach Angaben des Cybersicherheitsunternehmens Positive Technologies sind von dieser Kampagne mehr als 30 Organisationen betroffen, darunter Regierungsbehörden, Finanzinstitute und Bildungseinrichtungen. Die früheste aufgezeichnete Kompromittierung der MS Exchange Server-Schwachstelle geht auf das Jahr 2021 zurück.

 

Der MS Exchange Server-Fehler wird enträtselt


Positive Technologies hat den Modus Operandi dieses Keyloggers aufgeklärt. Demnach sammelt der Keylogger heimlich die Anmeldedaten von Konten und speichert sie in einer Datei, die über einen bestimmten Internetpfad zugänglich ist. Wie in Medienberichtengehören zu den betroffenen Ländern Russland, die Vereinigten Arabischen Emirate, Kuwait, Oman, Niger, Nigeria, Äthiopien, Mauritius, Jordanien und der Libanon.


Die Sicherheitslücken im Netz 


Diese Infiltration nutzte Schwachstellen, die als ProxyShell-Bugs bekannt sind und speziell als CVE-2021-34473, CVE-2021-34523 und CVE-2021-31207 verfolgt werden. Diese Schwachstellen, die ursprünglich von Microsoft im Mai 2021 behoben wurden, ermöglichten die Umgehung der Authentifizierung, die Ausweitung von Berechtigungen und die Ausführung von Remotecode und ebneten so den Weg für die Installation des Keyloggers auf der Hauptseite von Exchange Server.


Die Kette zur Ausnutzung der Schwachstelle


Die Abfolge der Ereignisse für die MS Exchange Server-Schwachstelle Angriff beginnt mit der Ausnutzung der ProxyShell-Schwachstellen, die von den Bedrohungsakteuren erleichtert wird. Anschließend wird die Keylogger-Einsatz heimlich zur Hauptseite des Servers hinzugefügt, insbesondere zur Datei "logon.aspx". Diese Hinzufügung wird von einer Code-Injektion begleitet, die darauf abzielt, Anmeldedaten zu erfassen, die dann in einer Datei gespeichert werden, die über das Internet zugänglich ist, sobald der Benutzer auf die Schaltfläche "Anmelden" klickt.

Die Verbreitung von Malware stellt eine erhebliche Bedrohung für die Cybersicherheit weltweit. Trotz umfangreicher Untersuchungen sieht Positive Technologies aufgrund unzureichender Informationen davon ab, diese Angriffe einem bestimmten Bedrohungsakteur oder einer Gruppe zuzuordnen.


Schützende Maßnahmen


Verstehen verschiedener Cyber-Angriffs-Vektoren ist für umfassende Strategien zur Abwehr von Cyberangriffen unerlässlich. Unternehmen wird dringend empfohlen, ihre Microsoft Exchange Server-Instanzen auf die neueste Version zu aktualisieren, um folgende Risiken zu minimieren Risiken für den Datenschutz. Endpunkt-Schutz ist von entscheidender Bedeutung für den Schutz von Geräten vor sich entwickelnden Cyber-Bedrohungen.

Darüber hinaus ist eine aufmerksame Systemüberwachung der Hauptseite des Exchange Servers empfohlen, um Anzeichen einer Kompromittierung zu erkennen, insbesondere das Vorhandensein des Keyloggers in der Datei "logon.aspx". Sollte eine Kompromittierung festgestellt werden, wird den Unternehmen dringend empfohlen, die Datei mit den gestohlenen Kontodaten zu identifizieren und zu löschen.

 

Strategien zur Reaktion auf Vorfälle


Gewährleistung einer robusten E-Mail-Server-Sicherheit ist in der heutigen digitalen Landschaft von entscheidender Bedeutung. Im Rahmen proaktiver Sicherheitsmaßnahmen müssen Unternehmen nicht nur ihre Exchange Server-Instanzen umgehend aktualisieren, sondern auch gründliche Bewertungen durchführen, um die Integrität ihrer Systeme sicherzustellen.

Einbindung von Bedrohungsdaten in die Cybersicherheitsabläufe verbessert die proaktive Erkennung von Bedrohungen und die Strategien zur Schadensbegrenzung. Indem sie wachsam bleiben und robuste Sicherheitsprotokolle implementieren, können Unternehmen ihre Abwehr gegen solche bösartigen Eindringlinge verstärken.

 

Schlussfolgerung


Die ausnutzbaren Schwachstellen in Microsoft Exchange Server zum Einsatz von Keylogger-Malware unterstreicht die sich ständig weiterentwickelnde Landschaft der Bedrohungen der Cybersicherheit Bedrohungen, mit denen Unternehmen weltweit konfrontiert sind. Indem wir informiert bleiben, proaktive Anwendung von Sicherheitsupdates wie Patch-Verwaltungund die Zusammenarbeit mit Cybersicherheitsexperten können Unternehmen ihre digitalen Werte schützen und die Integrität ihrer Abläufe angesichts neuer Bedrohungen aufrechterhalten.

Die Quellen für diesen Artikel sind unter anderem Artikel in Die Hacker-Nachrichten und SC Medien.

 

Zusammenfassung
MS Exchange Server-Schwachstelle: Einsatz von Keyloggern aufgedeckt
Artikel Name
MS Exchange Server-Schwachstelle: Einsatz von Keyloggern aufgedeckt
Beschreibung
Entdecken Sie, wie ein Fehler in MS Exchange Server den Einsatz von Keyloggern ermöglicht. Bleiben Sie geschützt mit Einblicken in die neuesten Cyber-Bedrohungen.
Autor
Name des Herausgebers
TuxCare
Logo des Herausgebers

Möchten Sie das Patchen von Sicherheitslücken ohne Kernel-Neustart, Systemausfallzeiten oder geplante Wartungsfenster automatisieren?

Erfahren Sie mehr über Live-Patching mit TuxCare