{"id":259363,"date":"2021-11-12T13:21:08","date_gmt":"2021-11-12T12:21:08","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=259363"},"modified":"2021-11-19T14:47:14","modified_gmt":"2021-11-19T13:47:14","slug":"bsi-cert-warnung-kompromittierte-exchange-server-werden-fr-e-mail-angriffe-missbraucht-nov-2021","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/11\/12\/bsi-cert-warnung-kompromittierte-exchange-server-werden-fr-e-mail-angriffe-missbraucht-nov-2021\/","title":{"rendered":"BSI\/CERT-Warnung: Kompromittierte Exchange-Server werden f&uuml;r E-Mail-Angriffe missbraucht (Nov. 2021)"},"content":{"rendered":"<p><img decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" title=\"Sicherheit (Pexels, allgemeine Nutzung)\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" alt=\"Sicherheit (Pexels, allgemeine Nutzung)\" width=\"200\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2021\/11\/18\/warnung-cert-bund-usa-gb-vor-angriffen-auf-exchange-und-fortinet\/\" target=\"_blank\" rel=\"noopener\">English<\/a>]Das Bundesamt f\u00fcr Sicherheit in der Informationstechnik und CERT-Bund schlagen Alarm. Aktuell wird von diesen Organisationen eine Signifikate Zunahme von Angriffen per E-Mail beobachtet. Die beiden Organisationen gehen davon aus, dass diese E-Mails von kompromittierten Exchange-Servern verschickt werden. Es wird Malware\u00a0 (Qakbot etc.) mit den E-Mails verschickt.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg08.met.vgwort.de\/na\/7ad1d32badad4470ae689cb06d07bc71\" alt=\"\" width=\"1\" height=\"1\" \/>Mir sind heute Morgen bereits zwei Tweets mit entsprechenden Warnungen unter die Augen gekommen. Das BSI hat die Warnung in diesem <a href=\"https:\/\/twitter.com\/BSI_Bund\/status\/1459075656420147204\" target=\"_blank\" rel=\"noopener\">Tweet<\/a> verpackt. Vom CERT-Bund gibt es <a href=\"https:\/\/twitter.com\/certbund\/status\/1459058920941662212\" target=\"_blank\" rel=\"noopener\">diesen Tweet<\/a>, mit Bezug auf Meldungen von Anfang November 2021.<\/p>\n<p><a href=\"https:\/\/twitter.com\/BSI_Bund\/status\/1459075656420147204\" target=\"_blank\" rel=\"noopener\"><img decoding=\"async\" title=\"BSI-Warnung vor kompromittierten Exchange-Servern\" src=\"https:\/\/i.imgur.com\/KBYV3Vo.png\" alt=\"BSI-Warnung vor kompromittierten Exchange-Servern\" \/><\/a><\/p>\n<h2>Der Sachverhalt: E-Mails von legitimen Servern<\/h2>\n<p>Das Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI) beobachtet derzeit eine signifikante Zunahme von Angriffen per E-Mail. Wie schon in der Vergangenheit bei Emotet nutzen die Angreifenden vermeintliche Antworten auf tats\u00e4chlich get\u00e4tigte E-Mail-Konversationen der Betroffenen, um Schadsoftware-Links zu verteilen.<\/p>\n<p>Neu ist allerdings, dass die gef\u00e4lschten E-Mails dabei \u00fcber die legitimen Mailserver der Absender selbst verschickt werden, sodass technische Detektion und Erkennung durch den Leser deutlich erschwert werden. Es ist also davon auszugehen, dass die Angreifenden Zugriff auf den Mailserver haben, welcher dann selbst \"ordnungsgem\u00e4\u00df\" als Absender fungiert. Die Links verweisen auf verschiedene Schadsoftware-Varianten, wie:<\/p>\n<ul>\n<li>Qakbot (aka: Pinkslipbot,<\/li>\n<li>QBot) (siehe [MAL2021a]),<\/li>\n<li>DanaBot (siehe [MAL2021b]) und<\/li>\n<li>SquirrelWaffle (siehe [TAL2021], [MAL2021c]).<\/li>\n<\/ul>\n<p>Eine Infektion zum Beispiel mit QakBot f\u00fchrt meist zur Kompromittierung des gesamten Netzwerks und schlussendlich zu einem Ransomware-Vorfall bei den Betroffenen. Allerdings kann auch eine Infektion mit DanaBot oder SquirrelWaffle einen Ransomware-Vorfall nach sich ziehen. Wie die T\u00e4ter Zugriff auf den Mailverkehr erhalten, ist zum aktuellen Zeitpunkt noch unklar, <a href=\"https:\/\/www.bsi.bund.de\/SharedDocs\/Cybersicherheitswarnungen\/DE\/2021\/2021-269486-1032.pdf?__blob=publicationFile&amp;v=3\" target=\"_blank\" rel=\"noopener\">schreibt<\/a> das BSI.<\/p>\n<h2>Kompromittierte Microsoft Exchange-Server?<\/h2>\n<p>In obigem Tweet und der BSI-Meldung wird aber vermutet, dass die Angreifer Microsoft Exchange-Server kompromittiert haben und diese nun f\u00fcr den Mail-Versand missbrauchen. Dazu hei\u00dft es:<\/p>\n<blockquote><p>Das BSI geht davon aus, dass f\u00fcr die Angriffe seit l\u00e4ngerem kompromittierte Exchange-Server verwendet werden. Anlass f\u00fcr diese Einsch\u00e4tzung sind die im Laufe des Jahres immer wieder erfolgreichen Angriffe \u00fcber kritische Schwachstellen in diesen Systemen. Vor diesen Angriffen hatte das Bundesamt bereits damals gewarnt (u.a. im M\u00e4rz [BSI2021a], Oktober [BSI2021b]).<\/p><\/blockquote>\n<p>Allerdings ist unklar, welche Schwachstelle im Exchange-Server konkret f\u00fcr diese derzeitigen Attacken genutzt wird. Selbst ein aktueller Patch-Stand auf Exchange-Servern ist kein sicherer Indikator daf\u00fcr, dass eine Kompromittierung ausgeschlossen werden kann. Der Hintergrund ist, dass ein eingespielter Patch keine bereits stattgefundene Kompromittierung beseitigt. Und in der Vergangenheit bestand h\u00e4ufig die akute Gefahr, dass Exchange-Installationen sehr schnell, also bereits vor dem Einspielen eines Updates, kompromittiert wurden.<\/p>\n<p>Zudem werden Zugangsdaten f\u00fcr diese infizierten Systeme aktuell auf Untergrund-Marktpl\u00e4tzen im Internet gehandelt (Access Broker \/ Access-as-a-Service).<\/p>\n<h2>BSI-Empfehlungen bei Kompromittierung<\/h2>\n<p>Bei dem Verdacht auf Kompromittierung des Exchange-Servers empfiehlt das BSI, den Server neu aufzusetzen und n\u00f6tige Daten wiederherzustellen. Weitere reaktive Empfehlungen k\u00f6nnen [BSI2021a] entnommen. Die dortigen Ausf\u00fchrungen beziehen sich zwar auf einen anderen Sachverhalt im Kontext \"Exchange\", so das BSI, behalten jedoch grunds\u00e4tzlich ihre G\u00fcltigkeit.<\/p>\n<p>Bei einer Infektion mit Qakbot kommt es in der Folge h\u00e4ufig zu einer vollst\u00e4ndigen Kompromittierung des ganzen Netzwerks. Aufgrund der zumeist weitreichenden Infektion muss in der Regel das ganze Netzwerk neu aufgesetzt werden! Derart massive Vorf\u00e4lle, wie bei Kompromittierungen mit QakBot, konnten laut BSI unabh\u00e4ngig von der jetzt beobachteten Kampagne auch bei der Malware DanaBot beobachtet werden.<\/p>\n<p>SquirrelWaffle ist eine relativ neue Malware, welche als Loader auch weitere Malware nachladen kann und somit ebenfalls einen Einstiegspunkt f\u00fcr Ransomware-Angreifer darstellen kann. So wurde bereits beobachtet, dass \u00fcber SquirrelWaffle die Malware QakBot nachgeladen wurde [TAL2021], denn all diese Netzkompromittierungen sind i.d.R. Grundlage f\u00fcr den dann anschlie\u00dfenden Einsatz von Ransomware.<\/p>\n<p>Aus Sicht des BSI muss grunds\u00e4tzlich davon ausgegangen werden, dass diese gef\u00e4lschten E-Mails mit ihrer erweiterten Vort\u00e4uschmethodik erfolgreicher sein k\u00f6nnten, als damals Emotet. Noch ist die Anzahl der versandten \/ geharvesteden E-Mails aber viel geringer, wodurch das akute Schadenspotenzial derzeit relativiert wird.<\/p>\n<blockquote><p>Die oben im Text referenzierten BSI-Dokumente lassen sich aus <a href=\"https:\/\/www.bsi.bund.de\/SharedDocs\/Cybersicherheitswarnungen\/DE\/2021\/2021-269486-1032.pdf?__blob=publicationFile&amp;v=3\" target=\"_blank\" rel=\"noopener\">diesem PDF-Dokument<\/a> entnehmen.<\/p><\/blockquote>\n<p><strong>\u00c4hnliche Artikel:<br \/>\n<\/strong><a href=\"https:\/\/borncity.com\/blog\/2021\/03\/03\/exchange-server-0-day-exploits-werden-aktiv-ausgenutzt-patchen\/\">Exchange-Server 0-day-Exploits werden aktiv ausgenutzt, patchen!<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/03\/06\/wichtige-hinweise-microsofts-und-des-bsi-zum-exchange-server-sicherheitsupdate-mrz-2021\/\">Wichtige Hinweise Microsofts und des BSI zum Exchange-Server Sicherheitsupdate (M\u00e4rz 2021)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/03\/05\/exchange-probleme-mit-ecp-nach-sicherheitsupdate-mrz-2021\/\">Exchange-Probleme mit ECP\/OWA-Suche nach Sicherheitsupdate (M\u00e4rz 2021)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/03\/07\/neues-zum-exchange-hack-testtools-von-microsoft-co\/\">Neues zum Exchange-Hack \u2013 Testtools von Microsoft &amp; Co.<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/03\/08\/microsoft-msert-hilft-bei-exchange-server-scans\/\">Microsoft MSERT hilft bei Exchange-Server-Scans<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/03\/09\/exchange-hack-neue-patches-und-neue-erkenntnisse\/\">Exchange-Hack: Neue Patches und neue Erkenntnisse<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/03\/11\/anatomie-des-proxylogon-hafinum-exchange-server-hacks\/\">Anatomie des ProxyLogon Hafinum-Exchange Server Hacks<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/03\/11\/exchange-hack-neue-opfer-neue-patches-neue-angriffe\/\">Exchange-Hack: Neue Opfer, neue Patches, neue Angriffe<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/03\/12\/neues-zur-proxylogon-hafnium-exchange-problematik-12-3-2021\/\">Neues zur ProxyLogon-Hafnium-Exchange-Problematik (12.3.2021)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/03\/13\/gab-es-beim-exchange-massenhack-ein-leck-bei-microsoft\/\">Gab es beim Exchange-Massenhack ein Leck bei Microsoft?<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/03\/13\/proxylogon-hack-repository-fr-betroffene-exchange-administratoren\/\">ProxyLogon-Hack: Repository f\u00fcr betroffene Exchange-Administratoren<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/03\/16\/microsoft-exchange-on-premises-one-click-mitigation-tool-eomt-freigegeben\/\">Microsoft Exchange (On-Premises) one-click Mitigation Tool (EOMT) freigegeben<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/03\/17\/exchange-server-2013-sicherheitsupdate-fr-service-pack-1\/\">Sicherheitsupdate f\u00fcr Exchange Server 2013 Service Pack 1 \u2013 Neue CUs f\u00fcr Exchange 2019 und 2016 (16.3.2021)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/03\/19\/microsoft-defender-schliet-automatisch-cve-2021-26855-auf-exchange-server\/\">Microsoft Defender schlie\u00dft automatisch CVE-2021-26855 auf Exchange Server<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/03\/25\/exchange-proxylogon-news-patch-stand-neue-ransomware-etc-25-3-2021\/\">Exchange ProxyLogon News: Patch-Stand, neue Ransomware etc. (25.3.2021)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/04\/01\/exchange-hack-wie-schaut-es-mit-dem-risiko-aus-was-gibt-es-neues-1-april-2021\/\">Neues zum Exchange-Hack: Wie schaut es mit dem Risiko aus? (1. April 2021)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/04\/09\/vorwarnung-0-day-schwachstellen-ist-das-nchste-exchange-drama-im-anrollen\/\">Vorwarnung: 0-Day-Schwachstellen, ist das n\u00e4chste Exchange-Drama im Anrollen?<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/07\/14\/sicherheitsupdates-fr-exchange-server-juli-2021\/\">Sicherheitsupdates f\u00fcr Exchange Server (Juli 2021)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/06\/29\/kumulative-exchange-updates-juni-2021-verffentlicht\/\">Kumulative Exchange Updates Juni 2021 ver\u00f6ffentlicht<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/04\/14\/exchange-server-security-update-kb5001779-13-april-2021\/\">Exchange Server Security Update KB5001779 (13. April 2021)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/08\/07\/exchange-schwachstellen-droht-hafnium-ii\/\">Exchange-Schwachstellen: Droht Hafnium II?<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/08\/10\/exchange-server-neues-zu-den-proxyshell-schwachstellen\/\">Exchange Server: Neues zu den ProxyShell-Schwachstellen<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/08\/13\/angriffe-auf-exchange-server-per-proxyshell-schwachstelle-rollen-an-13-8-2021\/\">Angriffe auf Exchange Server per ProxyShell-Schwachstelle rollen an (13.8.2021)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/08\/22\/angriffswelle-fast-2-000-exchange-server-ber-proxyshell-gehackt\/\">Angriffswelle, fast 2.000 Exchange-Server \u00fcber ProxyShell gehackt<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/08\/25\/proxyshell-proxylogon-und-microsofts-exchange-doku-fr-ausnahmen-vom-virenschutz\/\">ProxyShell, ProxyLogon und Microsofts Exchange-Doku f\u00fcr Ausnahmen vom Virenschutz<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/08\/26\/exchange-und-proxyshell-neues-von-microsoft-und-sicherheitsspezialisten\/\">Exchange und ProxyShell: Neues von Microsoft und Sicherheitsspezialisten<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/10\/17\/tifanu-cup-2021-exchange-2019-und-iphone-gehackt\/\">Tianfu Cup 2021: Exchange 2019 und iPhone gehackt<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/11\/06\/babuk-gang-nutzt-proxyshell-schwachstelle-in-exchange-fr-ransomware-angriffe\/\">Babuk-Gang nutzt ProxyShell-Schwachstelle in Exchange f\u00fcr Ransomware-Angriffe<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/11\/10\/exchange-server-november-2021-sicherheitsupdates-schlieen-rce-schwachstelle-cve-2021-423\/\">Exchange Server November 2021 Sicherheitsupdates schlie\u00dfen RCE-Schwachstelle CVE-2021-423<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Das Bundesamt f\u00fcr Sicherheit in der Informationstechnik und CERT-Bund schlagen Alarm. Aktuell wird von diesen Organisationen eine Signifikate Zunahme von Angriffen per E-Mail beobachtet. Die beiden Organisationen gehen davon aus, dass diese E-Mails von kompromittierten Exchange-Servern verschickt werden. Es wird &hellip; <a href=\"https:\/\/borncity.com\/blog\/2021\/11\/12\/bsi-cert-warnung-kompromittierte-exchange-server-werden-fr-e-mail-angriffe-missbraucht-nov-2021\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[5359,4328],"class_list":["post-259363","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-exchange","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/259363","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=259363"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/259363\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=259363"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=259363"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=259363"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}