Finanzinstitut angegriffen

Exchange-Lücke wurde automatisiert ausgenutzt

20. April 2021, 9:44 Uhr | Selina Doulah
© Pixabay

Die Microsoft Exchange-Schwachstellen machen noch immer Ärger: Security-Forscher fassen einen der vielen Angriffe, den sie beobachten konnten, zusammen und erklären, wie die Hacker dabei vorgegangen sind.

Anfang März wurden Schwachstellen in Microsoft Exchange Servern bekannt. Diese wurden natürlich von Cyberkriminellen ausgenutzt und Microsoft, BSI und Security-Firmen rufen immer wieder zum Patchen auf. Auch weitere Lücken sind entdeckt worden, die dringend gepatcht werden sollten. Was passieren kann, wenn Unternehmen in diesem Fall nichts tun, wird im folgenden Beispiel eines Angriffs aufgrund dieser Schwachstellen deutlich.

Laut einem Blogpost von Unit 42 nutzten am 6. März 2021 unbekannte Cyberkriminelle Schwachstellen in Microsoft Exchange Server aus, um eine Webshell auf einem Server bei einem Finanzinstitut in der EMEA-Region zu installieren. Obwohl Unit 42 keinen Zugriff auf die Webshell selbst hatte, vermuten die Sicherheitsforscher, dass es sich bei der Webshell wahrscheinlich um eine Variante des serverseitigen »JScript China Chopper« handele.

In dem Blogpost des Malware-Forschungsteams von Palo Alto Networks wird die Abfolge des Angriffs beschrieben: Sechs Tage nach der Installation, am 12. März 2021, verwendeten die Angreifer die installierte Webshell, um Power-Shell-Befehle auszuführen, Informationen vom lokalen Server und Active Directory zu sammeln und Zugangsdaten vom kompromittierten Exchange-Server zu stehlen. Die Cyberkriminellen komprimierten dann die Dateien, die mit dem Sammeln von Informationen und Zugangsdaten verbunden waren, indem sie Cabinet-Dateien erstellten, die in einem Ordner gespeichert wurden, den der IIS-Server (Internet Information Services) dem Internet zur Verfügung stellt. Die Akteure versuchten, diese Cabinet-Dateien zu exfiltrieren, indem sie am 12. und 13. März 2021 direkt zu ihnen navigierten.

Die Security-Forscher analysierten die IP-Adressen der eingehenden Anfragen zum Ausführen der Befehle über die installierte Webshell sowie der Anfragen zum Herunterladen der resultierenden Dateien. Keine der beobachteten IP-Adressen schienen eigene Infrastrukturen der Angreifer zu sein, und es handelte sich wahrscheinlich um eine Auswahl von frei verfügbaren Proxys, VPNs und kompromittierten Servern. Die in den Protokollen gesichteten IP-Adressen lieferten keine Anhaltspunkte für weitere Aktivitäten.

Anbieter zum Thema

zu Matchmaker+

Hacker automatisieren ihre Angriffe

Die Analysten von Unit 42 glauben, dass die Angreifer die Interaktion mit der Webshell automatisiert haben, um die beiden separaten Power-Shell-Skripte auszuführen. Diese wurden im Abstand von drei Sekunden ausgegeben und hatten zwei verschiedene eingehende IP-Adressen. Es scheint, dass die Automatisierung auch den absichtlichen Wechsel der IP-Adressen beinhaltete, um die Analyse und Korrelation der Aktivität zu erschweren. Die Automatisierung lieferte einen Hinweis darauf, dass die Akteure diesen speziellen Angriff als Teil einer umfangreicheren Angriffskampagne durchgeführt hatten.

Die Bemühungen der Angreifer, Zugangsdaten bei einem betroffenen Finanzinstitut in der EMEA-Region zu sammeln, waren nicht erfolgreich, da die eingehenden Anfragen zum Herunterladen des Speicherabbilds vom LSASS-Prozess (Local Security Authority Subsystem Service) fehlschlugen. Als zusätzliche Schutzmaßnahme war auf dem Exchange-Server Cortex XDR mit aktiviertem Password-Theft-Protection-Modul installiert. Dadurch wurden die Pointer zu den gewünschten Zugangsdaten aus dem Speicherauszug entfernt, was die Möglichkeit der Angreifer vereitelt hätte, Zugangsdaten aus dem Speicherauszug zu extrahieren, selbst wenn sie die Datei erfolgreich hätten herunterladen können.


  1. Exchange-Lücke wurde automatisiert ausgenutzt
  2. Große Angriffs-Kampagne vermutet

Lesen Sie mehr zum Thema


Jetzt kostenfreie Newsletter bestellen!

Weitere Artikel zu Microsoft GmbH

Weitere Artikel zu Palo Alto Networks GmbH

Weitere Artikel zu E-Mail

Matchmaker+