Angriffe auf MS Exchange im August um 170 Prozent gestiegen

Die Zahl der Nutzer, die durch Exploits aufgrund von Schwachstellen in Microsoft-Exchange-Servern angegriffen und von Kaspersky-Sicherheitslösungen blockiert wurden, nahm im August 2021 um 170 Prozent (von 7.342 auf 19.839) gegenüber dem Vormonat zu. Laut Kaspersky-Experten ist diese massive Entwicklung auf die steigende Zahl von Angriffen zurückzuführen, die versuchen, bereits bekannte Schwachstellen im Produkt auszunutzen, sowie auf die Tatsache, dass die Anwender anfällige Software nicht durch entsprechende Patches aktualisieren, wodurch sich die potenzielle Angriffsfläche vergrößert.

Sicherheitslücken in Microsoft Exchange Server haben in diesem Jahr für viel Unruhe gesorgt. Anfang März erfuhr die Öffentlichkeit von der Ausnutzung von Zero-Day-Schwachstellen im Microsoft Exchange Server, die dann in einer Welle von Angriffen auf Unternehmen weltweit ausgenutzt wurden. Später schloss Microsoft auch eine Reihe der so genannten ProxyShell-Schwachstellen – CVE-2021-34473, CVE-2021-34523 und CVE-2021-31207. In Kombination stellen diese Sicherheitslücken eine kritische Bedrohung dar und ermöglichen es einem Akteur, die Authentifizierung zu umgehen und Code als Nutzer mit erweiterten Privilegien auszuführen. Obwohl die Patches für diese Schwachstellen bereits vor einiger Zeit veröffentlicht wurden, nutzen Cyberkriminelle diese weiterhin aktiv aus. So wurden 74.274 Kaspersky-Nutzer in den vergangenen sechs Monaten mit Exploits für MS Exchange-Schwachstellen konfrontiert.

Wie die Cybersecurity and Infrastructure Security Agency (CISA) in den USA am 21. August warnte [1], werden die ProxyShell-Schwachstellen aktuell in einer neuen Angriffswelle von Cyberkriminellen aktiv ausgenutzt. In ihrem am 26. August veröffentlichten Advisory erklärt Microsoft, dass ein Exchange-Server anfällig ist, wenn er kein kumulatives Update (CU) mit mindestens dem Sicherheitsupdate aus dem Mai (SU) ausführt.

Laut Kaspersky-Telemetrie wurden in der letzten Woche des Sommers täglich mehr als 1.700 Nutzer mithilfe von ProxyShell-Exploits angegriffen. Dies führte dazu, dass die Zahl der attackierten Anwender im August 2021 im Vergleich zum Juli 2021 um 170 Prozent angestiegen ist. Dies zeigt, welch großes Problem diese Schwachstellen darstellen, wenn sie nicht gepatcht werden.

„Die Tatsache, dass solche Schwachstellen aktiv ausgenutzt werden, ist keine Überraschung“, kommentiert Evgeny Lopatin, Sicherheitsforscher bei Kaspersky. „Häufig stellen 1-Day-Schwachstellen – also solche, die bereits bekannt sind und für die von den Entwicklern Patches veröffentlicht wurden – eine noch größere Bedrohung dar, da sie vielen Cyberkriminellen sehr bekannt sind. Diese versuchen, in jedes Netzwerk einzudringen, das lukrativ sein könnte. Diese Zunahme von Angriffen zeigt einmal mehr, warum es so wichtig ist, Sicherheitslücken so schnell wie möglich zu schließen, um zu verhindern, dass die eigenen Netzwerke kompromittiert werden. Wir empfehlen dringend, den jüngsten Hinweis von Microsoft zu befolgen, um weitere Risiken zu minimieren.“

Kaspersky-Lösungen schützen vor Exploits, die ProxyShell-Schwachstellen ausnutzen, mit den Komponenten Behavior Detection und Exploit Prevention und erkennen solche mit den folgenden Bewertungen:

• PDM:Exploit.Win32.Generic
• HEUR:Ausnutzen.Win32.ProxyShell.
• HEUR:Exploit.*.CVE-2021-26855

Kaspersky-Tipps zum Schutz vor den Gefahren der hier genannten Sicherheitslücken

• Exchange Server so schnell wie möglich mit einem Update versorgen.
• Die eigene Verteidigungsstrategie sollte immer auf die Erkennung von lateralen Bewegungen im Netzwerk und Datenexfiltration ins Internet ausgerichtet sein. Hierbei ist insbesondere auf den ausgehenden Datenverkehr zu achten, um cyberkriminelle Verbindungen zu erkennen. Außerdem: regelmäßig Backups erstellen, um im Notfall einen schnellen Zugriff auf diese zu haben.
•  Eine leistungsstarke Sicherheitslösungen wie Kaspersky Endpoint Detection and Response [2] oder Kaspersky Managed Detection and Response [3] verwenden. Diese Technologien helfen, einen Angriff im Frühstadium zu erkennen und zu stoppen, bevor die Angreifer ihr Ziel erreichen.
• Eine zuverlässige Endpunkt-Sicherheitslösung wie Kaspersky Endpoint Security for Business [4] implementieren, die mit Exploit Prevention Verhaltenserkennung und einer Remediation Engine ausgestattet ist, die schädliche Aktionen rückgängig machen kann.

[1] https://us-cert.cisa.gov/ncas/current-activity/2021/08/21/urgent-protect-against-active-exploitation-proxyshell

[2] https://www.kaspersky.de/enterprise-security/endpoint-detection-response-edr

[3] https://www.kaspersky.de/enterprise-security/managed-detection-and-response

[4] https://www.kaspersky.de/small-to-medium-business-security