Bereits Kunde? Jetzt einloggen.
Lesezeit ca. 4 Min.

Tritt DearCry das WannaCry-Erbe an?


TecChannel Compact - epaper ⋅ Ausgabe 7/2021 vom 05.07.2021

Sicherheitslücke in Exchange-Servern

Artikelbild für den Artikel "Tritt DearCry das WannaCry-Erbe an?" aus der Ausgabe 7/2021 von TecChannel Compact. Dieses epaper sofort kaufen oder online lesen mit der Zeitschriften-Flatrate United Kiosk NEWS.
Viele Exchange-Server waren angreifbar ? etliche wurden nach Einschätzung des BSI kompromittiert und sollten nun schnellstens forensisch untersucht werden.

Mehrere Zero-Day-Schwachstellen in den Exchange-Server-Versionen 2013, 2016 und 2019 von Microsoft schlagen seit ihrem Bekanntwerden am 2. März 2021 hohe Wellen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) meldete, dass in Deutschland „Zehntausende Exchange-Server“ über das Internet angreifbar waren und vermutlich überwiegend längst mit Schadsoftware infiziert worden seien. Anwender sollten die von Microsoft zur Verfügung gestellten Sicherheits-Updates - auch für den angeblich nicht betroffenen Exchange Server 2010 – schnell einspielen und ihre Systeme forensisch untersuchen, lautet die Empfehlung.

Laut BSI werden schon jetzt von Hackern massenhaft Exploits gegen viele Tausend Angriffsziele weltweit eingesetzt. Es gehe den Angreifern vor allem um Spionage, so die Behörde, die Exploits seien demnach besonders schnell eingespielt worden – bevor ...

Weiterlesen
epaper-Einzelheft 16,99€
NEWS 14 Tage gratis testen
Bereits gekauft?Anmelden & Lesen
Leseprobe: Abdruck mit freundlicher Genehmigung von TecChannel Compact. Alle Rechte vorbehalten.

Mehr aus dieser Ausgabe

Titelbild der Ausgabe 7/2021 von Haben Sie diese Bedrohungen auf dem Zettel?. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Haben Sie diese Bedrohungen auf dem Zettel?
Titelbild der Ausgabe 7/2021 von So teuer wird Cybererpressung. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
So teuer wird Cybererpressung
Titelbild der Ausgabe 7/2021 von Social-Engineering-Angriffe erkennen und verhindern. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Social-Engineering-Angriffe erkennen und verhindern
Titelbild der Ausgabe 7/2021 von Insights aus dem Untergrund. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Insights aus dem Untergrund
Titelbild der Ausgabe 7/2021 von 6 Risiken, die Sie ernst nehmen sollten. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
6 Risiken, die Sie ernst nehmen sollten
Titelbild der Ausgabe 7/2021 von Wie Phishing per SMS funktioniert. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Wie Phishing per SMS funktioniert
Vorheriger Artikel
Haben Sie diese Bedrohungen auf dem Zettel?
aus dieser Ausgabe
Nächster Artikel So teuer wird Cybererpressung
aus dieser Ausgabe

... die Sicherheitsteams dem mit ihren Patchings einen Riegel vorschieben konnten. Gut möglich sei zudem, dass viele Angreifer Ransomware nachladen wollten.

Auffällig waren im Zusammenhang mit der Exchange-Sicherheitslücke die Aktivitäten der chinesischen Hackergruppe „Hafnium“. Der Massenhack habe besonders in Deutschland viele Opfer gefunden, berichteten die Verantwortlichen des Backup-Spezialisten Veritas. Laut der Server-Suchmaschine Shodan seien hierzulande etwa 57.000 Systeme betroffen, hieß es unter Berufung auf BSI-Zahlen. „Der Massenhack der chinesischen Gruppe Hafnium nutzte wieder einmal Softwarefehler aus, die bis dahin unbekannt waren“, sagte Marc Ahlgrim, Spezialist für Compliance und Risk Mitigation bei Veritas Technologies. „Solche Zero Day Vulnerabilities öffnen Hintertüren zu kritischen Produktionssystemen, die an allen Abwehrmaßnahmen vorbeiführen.“ Ein funktionierendes und integres Backup der kritischen Systeme schaffe eine letzte Verteidigungslinie, von der aus Firmen ihre Geschäftsdaten nach einem erfolgreichen Angriff zuverlässig wiederherstellen könnten.

Sophos warnt vor DearCry

Der IT-Sicherheitsanbieter Sophos identifizierte bereits Ransomware-Angriffe mit dem Trojaner „DearCry“, die die Sicherheitslücken im Exchange Server gezielt ausnutzten. Dabei handele es sich mutmaßlich um einen noch nicht näher bekannten Prototypen einer Malware, die nicht nur namentlich Ähnlichkeiten mit dem prominenten Vorgänger „WannaCry“ aufweise. Beide erstellten eine verschlüsselte Kopie der angegriffenen Datei (Copy Encryption) und überschrieben dann das Original, um eine Wiederherstellung unmöglich zu machen (In Place Encryption).

Laut Sophos unterscheiden sich die Fähigkeiten von DearCry und WannaCry aber deutlich. Die neue Ransomware verwendet demnach „keinen Befehls- und Kontrollserver, verfügt über einen eingebetteten RSA-Verschlüsselungscode, zeigt keine Benutzeroberfläche mit einem Timer an und verbreitet sich nicht auf andere Computer im Netzwerk“.

Mark Loman, Director Engineering Technology Office bei Sophos, wird in einer Mitteilung wie folgt zitiert: „Die Liste der angegriffenen Dateitypen hat sich von Opfer zu Opfer weiterentwickelt. Unsere Analyse zeigt außerdem, dass der Code nicht die Art von Anti-Erkennungsfunktionen enthält, die wir normalerweise von Ransomware erwarten würden, wie zum Beispiel komprimierte Dateien oder Verschleierungstechniken. Diese und andere Anzeichen deuten darauf hin, dass DearCry möglicherweise ein Prototyp ist, der schneller als geplant eingesetzt wurde, um die aktuellen Sicherheitslücken bei Microsoft-Exchange-Servern auszunutzen.“

ESET identifiziert zehn APT-Gruppen

Die Sicherheitsprofis von ESET haben sich ebenfalls mit den Lecks im Exchange Server beschäftigt. Sie gehen davon aus, dass die Schwachstellen bereits seit Jahresbeginn ausgenutzt werden, man habe weltweit schon über 5000 Server identifiziert, die von Hackern – insbesondere von zehn APT-Gruppen (APT = Advanced Persistent Threat), darunter die bereits genannte chinesische Hafnium-Gruppe – attackiert wurden.

„Seit dem Tag der Veröffentlichung der Patches durch Microsoft beobachteten wir, dass immer mehr Hacker massenhaft Exchange-Server scannen und kompromittieren. Interessanterweise handelt es sich dabei durchweg um APT-Gruppen, die für Spionagetätigkeiten berüchtigt sind. Wir sind uns sicher, dass auch andere Gruppen, beispielsweise Ransomware-Betreiber, diese Exploits für ihre Zwecke ausnutzen und auf den Zug aufspringen werden“, sagt Matthieu Faou, der die Forschungsarbeiten von ESET zu diesem Thema leitet. Die ESET-Forscher stellten ebenfalls fest, dass einige APT-Gruppen die Schwachstellen bereits ausnutzten, bevor die Patches zur Verfügung gestellt wurden. „Wir können daher ausschließen, dass diese Gruppen einen Exploit durch Reverse Engineering von Microsoft-Updates erstellt haben“, fügt Faou hinzu.

Die Schwachstellen erlaubten den Angreifern die Installation einer Webshell auf dem Server, die dann als Eintrittspunkt für weitere Malware diene. Mit seinen Sicherheitprodukten hat ESET folgende Webshells und Backdoors identifiziert, die für die Exploits genutzt würden: JS/Exploit.CVE-2021-26855.Webshell.A, JS/Exploit. CVE-2021-26855.Webshell.B, ASP/Webshell und ASP/ReGeorg.

Auch die Spezialisten von ESET gehen davon aus, dass die meisten ungepatchten Server mit Internet-Zugang bereits kompromittiert wurden. Patches einzuspielen sei weiter die wichtige Aufgabe, doch es reiche nicht aus. Ebenso sollten Admins nach Webshells und weiteren bösartigen Aktivitäten suchen und diese umgehend blocken sowie Schadcode entfernen. Und schließlich müssten die Anmeldedaten geändert werden.

Palo Alto warnt vor Verschlüsselung mit AES-256 und RSA-2048

Auch Palo Alto Networks hat jede Menge Informationen zu den Schwachstellen in den Exchange-Server-Versionen und zu DearCry gesammelt. Die Ransomware nutze die beiden Verschlüsselungstypen AES-256 und RSA-2048. Sie modifiziere die Kopfzeilen von Dateien so, dass sie die Zeichenfolge DearCry enthielten. Hier handele es sich um eine Anspielung auf die WannaCry-Malware, mit der 2017 Fabriken, Unternehmen und Regierungsbehörden auf der ganzen Welt lahmgelegt worden waren.

Für Trend Micro ist das eigene RZ kein Sicherheitsgarant

Derweil stellt Trend Micro fest, dass sich manche Anwender und Behörden in trügerischer Sicherheit wähnen, weil sie die Cloud vermieden und ihre Systeme on Premise betrieben. „Getreu dem Motto ‚im eigenen Rechenzentrum gehören meine Daten mir‘ werden dann grundlegende Sicherheitsmaßnahmen wie regelmäßiges und schnelles Patchen von Schwachstellen vernachlässigt“, so das Unternehmen in einer Mitteilung. Gerade für besonders beliebte und weit verbreitete Systeme wie Exchange könnten die Folgen fatal sein. Es handele sich um „De-facto-Monokulturen“, die ein beliebtes Ziel für Angreifer darstellten und die besondere Aufmerksamkeit der Security-Verantwortlichen brauchten.

Ein weiteres Problem sieht Trend Micro in der Überlastung vieler Administratoren, denen neben ihren Verwaltungs- und Support-Aufgaben sowie zusätzlichen Belastungen durch die Home-Office-Arbeitssituation kaum Zeit für Security-Themen blieben. So komme das Patchen von Systemen – auch in den Behörden – oft zu kurz. Wichtig sei zudem, dass sich Unternehmen und Behörden besser auf Angriffe vorbereiteten, denn diese seien nie zu 100 Prozent vermeidbar. Auch die besten Security-Lösungen und das sorgfältigste Patch-Management stießen an ihre Grenzen, wenn bisher unbekannte Schwachstellen genutzt würden. Eine gute Backup-Strategie und erprobte Krisenreaktionspläne seien daher in jedem Fall wichtig.

Heinrich Vaske

Heinrich Vaske ist Editorial Director von COMPUTERWOCHE und CIO. Seine wichtigste Aufgabe ist die inhaltliche Ausrichtung beider Medienmarken – im Web und in den Print-Titeln. Vaske verantwortet außerdem inhaltlich die Sonderpublikationen, Social-Web-Engagements und Mobile-Produkte und moderiert Veranstaltungen.