© Kaspersky
Kaspersky-Aktuell
Mehr als ein Viertel der über Microsoft-Exchange-Server-Schwachstellen angegriffenen Nutzer stammt aus Deutschland
Am 2. März 2021 veröffentlichten mehrere Unternehmen Berichte über die Ausnutzung mehrerer Zero-Day-Sicherheitslücken in Microsoft Exchange Server, die zur Ausführung von beliebigem Code innerhalb des Exchange-Server-Kontextes und zum vollständigen Zugriff auf die E-Mail-Konten auf dem Server führten [1].
Obwohl bereits ein Patch von Microsoft veröffentlicht wurde, beobachten Kaspersky-Forscher eine aktive Zunahme von Angriffen, die versuchen, diese Sicherheitslücken auszunutzen – Organisationen in Europa und den USA sind am stärksten betroffen.
Seit Anfang März 2021 entdeckte Kaspersky verwandte Angriffe bei über 1.200 Nutzern, wobei diese Zahl kontinuierlich zunimmt. Die größte Anzahl (26,93 Prozent) der attackierten Nutzer stammt aus Deutschland. Des Weiteren sind Italien (9,00 Prozent), Österreich (5,72 Prozent), die Schweiz (4,81 Prozent) und die USA (4,73 Prozent) unter den am stärksten betroffenen Ländern.
Anton Ivanov, VP Threat Research bei Kaspersky, kommentiert die Angriffe wie folgt:
„Wir haben von Anfang an damit gerechnet, dass die Versuche, diese Sicherheitslücken auszunutzen, rasch zunehmen werden, und genau das sehen wir jetzt. Bisher haben wir derartige Angriffe in über hundert Ländern – im Wesentlichen in allen Teilen der Welt – verzeichnet. Aufgrund der Art dieser Sicherheitslücken sind zahlreiche Organisationen gefährdet. Auch wenn die ersten Angriffe zielgerichtet waren, gibt es keinen Grund für die Akteure, nicht ihr Glück bei jeder Organisation, die einen anfälligen Server betreibt, zu versuchen. Diese Angriffe sind mit einem hohen Risiko für Datendiebstahl und Ransomware-Attacken verbunden. Daher müssen Unternehmen so schnell wie möglich Schutzmaßnahmen ergreifen.“
Kaspersky-Produkte erkennen die Bedrohung und schützen mithilfe verschiedener Technologien, einschließlich der Komponenten zur Verhaltenserkennung und Exploit-Prävention [2], vor den kürzlich entdeckten Sicherheitslücken in Microsoft Exchange Server. Kaspersky erkennt die Bedrohungen mit folgenden Erkennungsnamen:
Exploit.Win32.CVE-2021-26857.gen
HEUR: Exploit.Win32.CVE-2021-26857.a
HEUR: Trojan.ASP.Webshell.gen
HEUR: Backdoor.ASP.WebShell.gen
UDS: DangerousObject.Multi.Generic
PDM: Exploit.Win32.Generic
Kaspersky-Empfehlungen zum Schutz vor Angriffen, die die oben genannten Sicherheitslücken ausnutzen
Exchange Server umgehend aktualisieren.
Bei der Verteidigungsstrategie auf die Erkennung von lateralen Bewegungen und die Datenexfiltration ins Internet konzentrieren. Dabei vor allem auf den ausgehenden Datenverkehr achten, um cyberkriminelle Verbindungen zu erkennen. Darüber hinaus regelmäßig alle Daten sichern und gewährleisten, dass man im Notfall schnell darauf zugreifen kann.
Lösungen wie Kaspersky Endpoint Detection and Response [3] oder Kaspersky Managed Detection and Response-Dienst nutzen, die Angriffe frühzeitig erkennen und stoppen können.
Eine zuverlässige Endpoint-Sicherheitslösung wie Kaspersky Endpoint Security for Business [5] verwenden, die auf Exploit-Prävention, Verhaltenserkennung und einer Remediation-Engine basiert, mit der schädliche Aktionen zurückgesetzt werden können. Kaspersky Endpoint Security for Business verfügt zudem über Selbstverteidigungsmechanismen, die deren Beseitigung durch Cyberkriminelle verhindern können.
Weitere Informationen sind verfügbar unter https://securelist.com/zero-day-vulnerabilities-in-microsoft-exchange-server/101096/
Quellen:
[1] https://www.volexity.com/blog/2021/03/02/active-exploitation-of-microsoft-exchange-zero-day-vulnerabilities/
[2] https://www.kaspersky.com/enterprise-security/wiki-section/products/behavior-based-protection
[3] https://www.kaspersky.de/enterprise-security/endpoint-detection-response-edr
[4] https://www.kaspersky.de/enterprise-security/managed-detection-and-response
[5] https://www.kaspersky.de/small-to-medium-business-security/endpoint-select
-PM Kaspersky-