{"id":258076,"date":"2021-09-28T00:29:00","date_gmt":"2021-09-27T22:29:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=258076"},"modified":"2021-09-27T16:54:06","modified_gmt":"2021-09-27T14:54:06","slug":"exchange-proxylogon-schwachstelle-nach-1-tag-durch-famoussparrow-ausgenutzt","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/09\/28\/exchange-proxylogon-schwachstelle-nach-1-tag-durch-famoussparrow-ausgenutzt\/","title":{"rendered":"Exchange ProxyLogon-Schwachstelle nach 1 Tag durch FamousSparrow ausgenutzt"},"content":{"rendered":"

\"SicherheitSchwachstellen in Microsoft Exchange werden ja h\u00e4ufig sehr zeitnah nach Bekanntgabe durch Cyber-Kriminelle f\u00fcr Angriffe ausgenutzt. ESET hat in einer Analyse herausgefunden, dass die APT-Gruppe FamousSparrow<\/em> nur einen Tag ben\u00f6tigte, um diese Schwachstelle auszunutzen und eine Spionagekampagne gegen Hotels, Regierungen und Organisationen zu starten.<\/p>\n

<\/p>\n

\"\"Kommentare der Art \"wir warten erst einmal zwei Wochen, bis wir Updates installieren\" hier im Blog sind zwar angesichts der h\u00e4ufigen Probleme mit Patches nachvollziehbar, aber auch riskant. Gerade bei Microsoft Exchange hat die verz\u00f6gerte Installation von Sicherheitsupdates zu Infektionen gef\u00fchrt. Der aktuelle Fall, der durch ESET aufgezeigt wurde, unterstreicht diese Erkenntnis.<\/p>\n

\"FamousSparrow<\/a><\/p>\n

Das Ganze ist mir bereits vor einigen Tagen in obigem Tweet<\/a> unter die Augen gekommen. In diesem Artikel<\/a> haben die Sicherheitsforscher eine Analyse einer Spionagekampagne der APT-Gruppe FamousSparrow aufbereitet. FamousSparrow ist, laut den Erkenntnissen von ESET, die derzeit einzige Gruppe, die eine ma\u00dfgeschneiderte Backdoor SparrowDoor nutzt. Daneben verwendet die APT-Gruppe zwei angepasste Mimikatz-Versionen f\u00fcr Angriffe. <\/p>\n

Den ESET-Sicherheitsforscher war eine neue Cyberspionage-Gruppe aufgefallen, die weltweit Hotels, Regierungen und Privatunternehmen ins Visier genommen hat. Diese Gruppe, vermutlich mindestens seit 2019 aktiv ist, wurden von ESET FamousSparrow getauft. Bei der Untersuchung der Angriffe im Rahmen dieser Kampagne ergab sich aus den ESET-Telemetriedaten, dass FamousSparrow  die im M\u00e4rz 2021 \u00f6ffentlich gewordene Microsoft Exchange-Schwachstelle ProxyLogon<\/a> ausnutzte (ich hatte erstmals im Beitrag Exchange-Server 0-day-Exploits werden aktiv ausgenutzt, patchen!<\/a> \u00fcber die Schwachstelle berichtet, siehe auch Artikel am Beitragsende). <\/p>\n

Laut der ESET-Telemetrie begann FamousSparrow schon am 03.03.2021, dem Tag nach der Ver\u00f6ffentlichung des Patches, die Schwachstellen auszunutzen. Die Details der Vorgehensweise lassen sich in diesem Artikel<\/a> nachlesen. Der Fall zeigt aber, wie schnell Cyber-Kriminelle und APT-Gruppen auf neue Schwachstellen reagieren. Administratoren m\u00fcssen sich daher geeignete Patch-Strategien zurechtlegen, um Update m\u00f6glichst schnell zu installieren, andererseits aber auch nicht die IT-Infrastruktur durch fehlerhafte Updates zu gef\u00e4hrden. Mal wieder die Quadratur des Kreises. <\/p>\n

\u00c4hnliche Artikel:
<\/strong>Exchange-Server 0-day-Exploits werden aktiv ausgenutzt, patchen!<\/a>
Wichtige Hinweise Microsofts und des BSI zum Exchange-Server Sicherheitsupdate (M\u00e4rz 2021)<\/a>
Exchange-Probleme mit ECP\/OWA-Suche nach Sicherheitsupdate (M\u00e4rz 2021)<\/a>
Neues zum Exchange-Hack \u2013 Testtools von Microsoft & Co.<\/a>
Microsoft MSERT hilft bei Exchange-Server-Scans<\/a>
Exchange-Hack: Neue Patches und neue Erkenntnisse<\/a>
Anatomie des ProxyLogon Hafinum-Exchange Server Hacks<\/a>
Exchange-Hack: Neue Opfer, neue Patches, neue Angriffe<\/a>
Neues zur ProxyLogon-Hafnium-Exchange-Problematik (12.3.2021)<\/a>
Gab es beim Exchange-Massenhack ein Leck bei Microsoft?<\/a>
ProxyLogon-Hack: Repository f\u00fcr betroffene Exchange-Administratoren<\/a>
Microsoft Exchange (On-Premises) one-click Mitigation Tool (EOMT) freigegeben<\/a>
Sicherheitsupdate f\u00fcr Exchange Server 2013 Service Pack 1 \u2013 Neue CUs f\u00fcr Exchange 2019 und 2016 (16.3.2021)<\/a>
Microsoft Defender schlie\u00dft automatisch CVE-2021-26855 auf Exchange Server<\/a>
Exchange ProxyLogon News: Patch-Stand, neue Ransomware etc. (25.3.2021)<\/a>
Neues zum Exchange-Hack: Wie schaut es mit dem Risiko aus? (1. April 2021)<\/a>
Vorwarnung: 0-Day-Schwachstellen, ist das n\u00e4chste Exchange-Drama im Anrollen?<\/a>
Sicherheitsupdates f\u00fcr Exchange Server (Juli 2021)<\/a>
Kumulative Exchange Updates Juni 2021 ver\u00f6ffentlicht<\/a>
Exchange Server Security Update KB5001779 (13. April 2021)<\/a>
Exchange-Schwachstellen: Droht Hafnium II?<\/a>
Exchange Server: Neues zu den ProxyShell-Schwachstellen<\/a>
Angriffe auf Exchange Server per ProxyShell-Schwachstelle rollen an (13.8.2021)<\/a>
Angriffswelle, fast 2.000 Exchange-Server \u00fcber ProxyShell gehackt<\/a>
ProxyShell, ProxyLogon und Microsofts Exchange-Doku f\u00fcr Ausnahmen vom Virenschutz<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

Schwachstellen in Microsoft Exchange werden ja h\u00e4ufig sehr zeitnah nach Bekanntgabe durch Cyber-Kriminelle f\u00fcr Angriffe ausgenutzt. ESET hat in einer Analyse herausgefunden, dass die APT-Gruppe FamousSparrow nur einen Tag ben\u00f6tigte, um diese Schwachstelle auszunutzen und eine Spionagekampagne gegen Hotels, Regierungen … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[5359,4328],"class_list":["post-258076","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-exchange","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/258076","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=258076"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/258076\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=258076"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=258076"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=258076"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}