Denken Sie an die zahlreichen Sicherheitslücken, durch die Microsoft Exchange-Server verschiedenen Angriffen ausgesetzt sind?
Sicherheitslücken bei ProxyLogon, die bei Cryptojacking-Angriffen verwendet werden
Jetzt sollte der Bedrohungsliste eine weitere Gefahr hinzugefügt werden - Cryptojacking, auch als Cryptocurrency Mining bezeichnet. SophosLabs-Forscher stellten fest, dass die Angreifer, die Exchange-Server ausnutzen, jetzt die gefährdeten Server verwenden, um einen Monero-Miner zu hosten. Andere Bedrohungen für solche Server sind APT-Angriffe, Ransomware, und Webshells.
„Das SophosLabs-Team hat die Telemetrie überprüft, als es auf den ungewöhnlichen Angriff auf den Exchange-Server eines Kunden stieß. Der Angriff beginnt mit einem PowerShell-Befehl zum Abrufen einer Datei mit dem Namen win_r.zip aus dem Outlook Web Access-Anmeldepfad eines anderen gefährdeten Servers (/owa / auth)," der Bericht aufgedeckt.
Ein nicht identifizierter Bedrohungsakteur hat versucht, den ProxyLogon-Exploit zu nutzen, um Exchange-Servern einen Monero-Cryptominer aufzuerlegen. Die Nutzdaten selbst werden auch auf einem gefährdeten Exchange-Server gehostet.
Die mit dem Angriff verbundene ausführbare Datei wird als Mal / Inject-GV und XMR-Stak Miner bezeichnet (PUA). Der Bericht enthielt auch eine vollständige Liste von Kompromissindikatoren, anhand derer Organisationen feststellen können, ob sie angegriffen wurden.
Weitere Informationen zu den ProxyLogon-Sicherheitsanfälligkeiten
Die Sicherheitslücken, die Microsoft Exchange Server betreffen sind CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, und CVE-2021-27065. Betroffene Versionen sind Microsoft Exchange Server 2013, Microsoft Exchange Server 2016, und Microsoft Exchange Server 2019.
Die Fehler werden als Teil einer Angriffskette verwendet, bekannt als ProxyLogon. Erfolgreich initiiert werden, Ein Angriff erfordert eine nicht vertrauenswürdige Verbindung zu einem bestimmten Exchange-Server-Port, 443. Diese Lücke kann durch Einschränkung der nicht vertrauenswürdigen Verbindung geschützt werden, oder indem Sie ein VPN einrichten, um den Server vom externen Zugriff zu trennen. Jedoch, Diese Abschwächungstricks bieten nur einen teilweisen Schutz. Das Unternehmen warnt davor, dass andere Teile des Kettenangriffs ausgelöst werden können, wenn ein Angreifer bereits Zugriff hat, oder einen Administrator davon überzeugen kann, eine schädliche Datei auszuführen.
Es ist bemerkenswert, dass im vergangenen März, Staatlich geförderte Hacking-Gruppen nutzten CVE-2020-0688 aus, eine weitere Sicherheitsanfälligkeit in Microsoft Exchange-E-Mail-Servern. Dann, im Mai, Der Exchange-Server wurde von den sogenannten angegriffen Valar Trojaner. Der Malware-Angriff richtete sich hauptsächlich gegen Opfer in Deutschland und den USA, in einem erweiterten Bedrohungsszenario, das mehrstufig an die anfälligen Systeme übermittelt wird.