Microsoft Exchange Server: Keylogger infiziert Regierungsorganisationen weltweit

Sicherheit (Pexels, allgemeine Nutzung)[English]Sicherheitsforscher sind auf einen Keylogger gestoßen, der weltweit Regierungsorganisation, aber auch Banken oder andere Institutionen über Microsoft Exchange Server infiziert. Der Keylogger wurde nach einer Infektion auf der Hauptseite des des Exchange Server eines Kunden gefunden. Zweck dieses Keyloggers ist es, Anmeldedaten zu stehlen und an einen Remote-Server zu übertragen. Es sind weltweit bereits um die 30 infizierte Systeme gefunden worden.


Anzeige

Microsoft Exchange Server unter Beschuss

Sicherheitsforscher des Incident Response Teams des Positive Technologies Expert Security Center (PT ESC) sind bei der forensischen Analyse eines Cybervorfalls auf einen bisher unbekannten Keylogger gestoßen. Dieser war in die Hauptseite von Microsoft Exchange Server des Kunden eingebettet. Die Daten der Sicherheitsforscher zufolge fand die erste Kompromittierung im Jahr 2021 statt.

Keylogger in Microsoft Exchange Server

Ich bin über obigen Tweet auf das Thema, welches die Sicherheitsforscher im Artikel Positive Technologies detects a series of attacks via Microsoft Exchange Server dokumentiert haben, gestoßen. Dieser Keylogger sammelte die Anmeldedaten des Kontos in einer Datei, die über einen speziellen Pfad aus dem Internet zugänglich war. Das Team identifizierte über 30 Opfer, von denen die meisten zu Regierungsbehörden in verschiedenen Ländern gehören. Ohne zusätzliche Daten können die Sicherheitsforscher diese Angriffe nicht einer bestimmten Gruppe zuordnen, schreiben sie, stellen aber fest, dass sich die meisten Opfer in Afrika und im Nahen Osten befinden.

Der Schadcode in Exchange Server

Um den Keylogger einzuschleusen, nutzten die Hacker ProxyShell, eine bekannte Schwachstelle in Microsoft Exchange Server. Als Nächstes fügten sie den Keylogger-Code in die Hauptseite des Servers ein. Auf den infizierten Microsoft Exchange Server-Systemen war der nachfolgende Schadcode in der Hauptseite, insbesondere in die Funktion clkLgn(), eingebettet.


Anzeige

var ObjectData = "ObjectType=" + escape(curTime + "\t" + 
gbid("username").value + "\t" + gbid("password").value) + 
"&uin=" + Math.random().toString(16).substring(2);

Der in obigem Tweet gezeigte Screenshot zeigt den eingebetteten Code. Außerdem fügten die Hacker in die Datei logon.aspx Code ein, der das Ergebnis des Keyloggers – sprich die Anmeldedaten des Kontos  in eine Datei umleitet. Diese Datei war über einen speziellen Pfad per Internet lesbar, so dass die Angreifer jederzeit die Informationen, die der Keylogger gesammelt hatte, abrufen konnten. Auf diese Weise gelangten die Angreifer an die Anmeldedaten verschiedener Exchange Server-Systeme.

Die Sicherheitsforscher haben inzwischen über 30 Opfer identifiziert und benachrichtigt. Es handelt sich vor allem um Regierungsbehörden aus verschiedenen Ländern. Die Liste der Opfer umfasst aber auch Banken, IT-Unternehmen und Bildungseinrichtungen. Zu den von diesen Angriffen betroffenen Ländern gehören Russland, die Vereinigten Arabischen Emirate, Kuwait, Oman, Niger, Nigeria, Äthiopien, Mauritius, Jordanien und der Libanon.

  • Exchange-Administratoren sollten überprüfen, ob ihre Server möglicherweise kompromittiert wurden, indem sie auf der Hauptseite des Microsoft Exchange-Servers nach dem Stealer-Code suchen.
  • Wird der Keylogger auf einem kompromittierten Server gefunden, sollten die Kontodaten, die gestohlen wurden, ermittelt werden.
  • Zudem sollte die Datei, in der die gestohlenen Zugangsdaten geschrieben werden, gelöscht werde. Der Pfad zu dieser Datei findet sich in der Datei logon.aspx .
  • Administratoren sollten sicherstellen, dass die neueste Version von Microsoft Exchange Server verwendet wird und die verfügbaren Sicherheitsupdates installiert sind.

Details sind dem oben verlinkten Blog-Beitrag der Sicherheitsforscher zu entnehmen.


Anzeige

Dieser Beitrag wurde unter Sicherheit, Software abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

31 Antworten zu Microsoft Exchange Server: Keylogger infiziert Regierungsorganisationen weltweit

  1. R.S. sagt:

    Gerade einmal geprüft.
    Der Code ist nicht vorhanden.

    Die Sicherheitslücke ist aber auch schon lange geschlossen.

  2. Anonymous sagt:

    > Wird der Keylogger auf einem kompromittierten Server gefunden, …

    .. ist es mit Löschen der Logdatei und Entfernen dieser Codezeile und Aktualisieren der Exchange Version natürlich NICHT getan, es kann sich auf dem Server und erreichbaren weiteren Systemen inkl. Clients noch alles mögliche weitere eingenistet haben, es liegt ein absoluter Super GAU vor.

  3. michael sagt:

    Einen Preis für Klickibuntimail muß man eben abdrücken.

  4. Charlie sagt:

    Ist die CDU mit ihrem 2010er auch betroffen?
    Ein Test wäre ja wie eine Mutprobe, gibt ja wenn die Ergebnisse öffentlich werden mit hoher Wahrscheinlichkeit eine Anzeige.

  5. Tomas Jakobs sagt:

    Da kommt offen die Exchange-Misconception der 90er Jahre zu Tage: AD Zugangsdaten ohne 2FA offen im Internet. Kein Mitleid!

    • Mark Heitbrink sagt:

      der Exchange war erst mit der Version 2003 und dem feature "RPC over HTTPS" ohne VPN von außen erreichbar.

      nenne mir ein Produkt aus dieser Zeit, das 2FA angeboten hat. selbst vor 10 Jahren war das Angebot sehr dünn und heute ist es das immer noch, siehe diverse Webportale.

      mit dem Wissen von heute auf alte Technik eingeschlagen ist zu einfach. das gleiche wird in 10 Jahren über den Stand von heute passieren.

      der Exchange im Azure hatte von Anfang 2FA.
      es wurde nur von den Admins nicht angeschaltet. das Argument: der Anwender akzeptiert es nicht.

      Microsoft hat im Moment das mieseste Management ever für alle Technik Bereiche, es kotzt mich an, aber schlimmer als das ist immer noch die Administration, die ihren Job nicht macht und damit alles zu Fall bringt, da vorhandene Absicherungen nicht benutzt werden

      • Tomas Jakobs sagt:

        Du triggerst falsch… Mein Satz "Da kommt offen die Exchange-Misconception der 90er Jahre zu Tage" bezieht sich auf den Umstand, dass Unternehmen diese 90er Technologie und Konzepte unverändert noch heute im Jahr 2024 nutzen. Obwohl es längst Alternativen zum Produkt selbst und zur Authentifikation gibt.

        • Mark Heitbrink sagt:

          dann beschuldigst du falsch ;-) Microsoft kann seit Cloud 2FA. die Unternehmen, die es falsch machen/konfigurieren sind die, die es ohne benutzen

        • Sebastian sagt:

          Ich will nur sagen das ich euer Gespräch hier gerne verfolge. Und ich auch beide Seiten sehe, Am Ende geht es darum Mietsoftware und Tracking abzubzulehnen. Der Rest ist egal.

  6. mw sagt:

    Microsoft: da weiß man, was man hat.

  7. Speedfish sagt:

    Weißt jemand ob hier Exchange Extended Protection notwendig ist?
    oder reicht es auf jeden aktuellsten Exchange Stand zu sein.
    Wir haben leider Probleme beim Hybrid Exchange Server dann Mailboxen nach EXO zu migrieren sobald EXP für den IIS eingeschaltet wird.
    Auch schon diverses geprüft/recherchiert aber keine Lösung gefunden.
    Vielen Dank

    • Martin Wildi sagt:

      Solange du auf dem aktuellsten Patchlevel bist, sollte die Lücke geschlossen sein.

      EP kann nicht zusammen mit Hybrid aktiviert werden; bzw. muss EP auf FrontEnd EWS deaktiviert sein. Wenn du aber Full Modern Hybrid verwendest, brauchst du kein https von extern mehr.

      • Speedfish sagt:

        Vielen Dank, ich dachte ich bin zu blöd für den Exchange Hybrid Kram..
        Gut zu wissen, dass hier die Hyrid und EP zusammen sowie der Erhalt der vollen Funkionalität nicht funktioniert. Classic MS
        Gerade der Migrationsassistent von Onprem nach EXO ist hier super wichtig.

  8. sds sagt:

    Immer schön weiter nutzen, den Drecksmüll.

    Aber bitte hinterher nicht wundern!

    • Genervt_von_Allesbashern sagt:

      Genau! Der wahre Gläubige investiert gerne die Zeit in die manuelle Absicherung seiner Systeme, wenn er nicht die Vorzüge von Brieftauben nutzen kann!

      • Günter Born sagt:

        So ganz unrecht hat er aber nicht – Exchange ist inzwischen eines der großen Risiken für Cyberangriffe. Nur mal angemerkt. Von daher bin ich unsicher, wie dein Kommentar nun hilfreich ist …

        • Martin B sagt:

          das kann man so einfach nicht stehen lassen. Niemand ist gezwungen, außer mobile Sync alle Dienste dauerhaft zu veröffentlichen, es soll so etwas was geben wie VPN.

          Abgesehen davon kann man den ganzen Kram auch mit Reverse Proxies und Pre-Auth sicher veröffentlichen und hat dadurch auch mehr Puffer, die Updates verzögert zu installieren. Wer Exchange als Dienstleistung anbietet, sollte sich damit auskennen. Oder wer lässt ständig seine Wohnungstür unabgeschlossen oder seine Brieftasche auf dem Autodach liegen?

    • TBR sagt:

      Sollen wir Lotus Notes verwenden oder was? Alle Mailsysteme sind mehr oder weniger anfällig. So einfach mal alles umzustellen auf ein anderes System geht leider nur bedingt und ist sehr zeitintensiv. Klar ist Exchange das Angriffsziel Nummer 1, da es extrem weit verbreitet ist.

      • Fridolin sagt:

        "Alle Mailsysteme sind mehr oder weniger anfällig."

        Steile These. Wo gelingt das außer bei MS noch, den Server so anzugreifen? Hier geht es nicht über Malwareverbreitung / Phishing via Mail, sondern um einen direkten Angriff auf das Serversystem.

      • Tomas Jakobs sagt:

        Ich betreibe seit einem Jahrzehnt Linux-Mailserver für mich und meine Kunden ohne Probleme. Und mit Verlaub, Deine These dass Exchange am weitesten unter den Mailservern verbreitet sei… hust… nein sind sie nicht.

        • TBR sagt:

          Welches System ist denn dann die Nummer 1? Es wird sicher einen Marktführer geben.
          Microsoft Exchange ist ja mehr als nur ein E-Mail-Server System ;)

    • Joachim sagt:

      Exim ist viel besser!!!!!11!1!

      "Eine Schwachstelle gefährdet allein in Deutschland potenziell mehr als 160.000 Exim-Server. Einen Patch gibt es bisher nicht."
      https://www.golem.de/news/kein-patch-verfuegbar-exim-schwachstelle-gefaehrdet-unzaehlige-e-mail-server-2309-178111.html

  9. Max sagt:

    Puh, bin ich froh, dass keiner unserer Kunden mehr einen exponierten Exchange-Server hat. Alles schön hinter VPN, was zu dem schönen Nebeneffekt geführt hat, dass auch die Outlook-App nicht mehr in Benutzung ist, da die mit VPN nicht funktioniert (lol). Und viel ruhiger schlafen kann ich seit dem auch,

    MfG

  10. Sebastian sagt:

    Keylogger ist so eine wenn sonst nichts mehr geht Strategie. Ich sehe hier keine Sensation in der Meldung. *leider*

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.