Schwachstellen in Microsoft Exchange werden ja häufig sehr zeitnah nach Bekanntgabe durch Cyber-Kriminelle für Angriffe ausgenutzt. ESET hat in einer Analyse herausgefunden, dass die APT-Gruppe FamousSparrow nur einen Tag benötigte, um diese Schwachstelle auszunutzen und eine Spionagekampagne gegen Hotels, Regierungen und Organisationen zu starten.
Anzeige
Kommentare der Art "wir warten erst einmal zwei Wochen, bis wir Updates installieren" hier im Blog sind zwar angesichts der häufigen Probleme mit Patches nachvollziehbar, aber auch riskant. Gerade bei Microsoft Exchange hat die verzögerte Installation von Sicherheitsupdates zu Infektionen geführt. Der aktuelle Fall, der durch ESET aufgezeigt wurde, unterstreicht diese Erkenntnis.
Das Ganze ist mir bereits vor einigen Tagen in obigem Tweet unter die Augen gekommen. In diesem Artikel haben die Sicherheitsforscher eine Analyse einer Spionagekampagne der APT-Gruppe FamousSparrow aufbereitet. FamousSparrow ist, laut den Erkenntnissen von ESET, die derzeit einzige Gruppe, die eine maßgeschneiderte Backdoor SparrowDoor nutzt. Daneben verwendet die APT-Gruppe zwei angepasste Mimikatz-Versionen für Angriffe.
Den ESET-Sicherheitsforscher war eine neue Cyberspionage-Gruppe aufgefallen, die weltweit Hotels, Regierungen und Privatunternehmen ins Visier genommen hat. Diese Gruppe, vermutlich mindestens seit 2019 aktiv ist, wurden von ESET FamousSparrow getauft. Bei der Untersuchung der Angriffe im Rahmen dieser Kampagne ergab sich aus den ESET-Telemetriedaten, dass FamousSparrow die im März 2021 öffentlich gewordene Microsoft Exchange-Schwachstelle ProxyLogon ausnutzte (ich hatte erstmals im Beitrag Exchange-Server 0-day-Exploits werden aktiv ausgenutzt, patchen! über die Schwachstelle berichtet, siehe auch Artikel am Beitragsende).
Anzeige
Laut der ESET-Telemetrie begann FamousSparrow schon am 03.03.2021, dem Tag nach der Veröffentlichung des Patches, die Schwachstellen auszunutzen. Die Details der Vorgehensweise lassen sich in diesem Artikel nachlesen. Der Fall zeigt aber, wie schnell Cyber-Kriminelle und APT-Gruppen auf neue Schwachstellen reagieren. Administratoren müssen sich daher geeignete Patch-Strategien zurechtlegen, um Update möglichst schnell zu installieren, andererseits aber auch nicht die IT-Infrastruktur durch fehlerhafte Updates zu gefährden. Mal wieder die Quadratur des Kreises.
Ähnliche Artikel:
Exchange-Server 0-day-Exploits werden aktiv ausgenutzt, patchen!
Wichtige Hinweise Microsofts und des BSI zum Exchange-Server Sicherheitsupdate (März 2021)
Exchange-Probleme mit ECP/OWA-Suche nach Sicherheitsupdate (März 2021)
Neues zum Exchange-Hack – Testtools von Microsoft & Co.
Microsoft MSERT hilft bei Exchange-Server-Scans
Exchange-Hack: Neue Patches und neue Erkenntnisse
Anatomie des ProxyLogon Hafinum-Exchange Server Hacks
Exchange-Hack: Neue Opfer, neue Patches, neue Angriffe
Neues zur ProxyLogon-Hafnium-Exchange-Problematik (12.3.2021)
Gab es beim Exchange-Massenhack ein Leck bei Microsoft?
ProxyLogon-Hack: Repository für betroffene Exchange-Administratoren
Microsoft Exchange (On-Premises) one-click Mitigation Tool (EOMT) freigegeben
Sicherheitsupdate für Exchange Server 2013 Service Pack 1 – Neue CUs für Exchange 2019 und 2016 (16.3.2021)
Microsoft Defender schließt automatisch CVE-2021-26855 auf Exchange Server
Exchange ProxyLogon News: Patch-Stand, neue Ransomware etc. (25.3.2021)
Neues zum Exchange-Hack: Wie schaut es mit dem Risiko aus? (1. April 2021)
Vorwarnung: 0-Day-Schwachstellen, ist das nächste Exchange-Drama im Anrollen?
Sicherheitsupdates für Exchange Server (Juli 2021)
Kumulative Exchange Updates Juni 2021 veröffentlicht
Exchange Server Security Update KB5001779 (13. April 2021)
Exchange-Schwachstellen: Droht Hafnium II?
Exchange Server: Neues zu den ProxyShell-Schwachstellen
Angriffe auf Exchange Server per ProxyShell-Schwachstelle rollen an (13.8.2021)
Angriffswelle, fast 2.000 Exchange-Server über ProxyShell gehackt
ProxyShell, ProxyLogon und Microsofts Exchange-Doku für Ausnahmen vom Virenschutz
Anzeige
Das ist schon mal wieder eine ganz neue Qualität und zeigt: lohnt sich gar nicht lange nach Lücken zu suchen, nutze die bekannten Lücken einfach kurzfristig. Klar gab es schon immer irgendwie, scheint aber bei den Junx System zu haben.