{"id":260088,"date":"2021-12-03T00:10:00","date_gmt":"2021-12-02T23:10:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=260088"},"modified":"2021-12-24T01:59:26","modified_gmt":"2021-12-24T00:59:26","slug":"beispiele-fr-viren-mails-nach-bernahme-eines-exchange-servers","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/12\/03\/beispiele-fr-viren-mails-nach-bernahme-eines-exchange-servers\/","title":{"rendered":"Beispiele für Viren-Mails nach Übernahme eines Exchange-Servers"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Und schon sind wir beim dritten T\u00fcrchen im Security-Adventskalender meines Blogs. Ich hatte ja hier im Blog mehrfach gewarnt, dass ungepatchte Exchange-Server \u00fcbernommen und zum Spam-Versand missbraucht werden. Ein Blog-Leser hat mir nun eine kurze Info zukommen lassen (danke), weil er einen kompromittierten Exchange-Server gefunden hat, der kompromittiert war und infizierte Spam-Mails verschickte.<\/p>\n

<\/p>\n

Ein Beispiel kompromittierter Mails<\/h2>\n

\"\"Blog-Leser Fabian M. arbeitet als Administrator und hat mich zum 1. Dezember 2021 per Mail kontaktiert. Er hatte Zugriff auf E-Mails, die von einem kompromittierten Exchange Server verschickt wurden und hat mir folgendes geschrieben.<\/p>\n

Anbei ein Beispiel f\u00fcr Emails die \u00fcber einen \u00fcbernommenen Exchange verschickt wurden. In diesem Fall ein Handwerksbetrieb.<\/p>\n

Die Emails waren jeweils Antworten auf Orginalmails.<\/p>\n

Es gab immer zwei Links zu unterschiedlichen Seiten.<\/p>\n

Gemeinsam war das vorangestellte *) und die gleiche Zahlenkombination am Ende der Links.<\/p>\n

Die betroffenen Webseiten war aber jedes mal andere.<\/p><\/blockquote>\n

<\/p>\n

Der Blog-Leser hat mir noch den obigen Screenshot zugeschickt, der die URLs auf Seiten enth\u00e4lt, die der Empf\u00e4nger der Mails besuchen soll. Fabian schrieb, dass (Stand 11.30 Uhr 1.12.2021) laut Virustotal nur Kaspersky den Virus erkannt habe. Nun ist man gut beraten, die obigen Adressen nicht einfach im Browser einzutippen, um zu schauen, was passiert. Ich habe am 2. 12. 2021 die Seite von Virustotal<\/a> aufgerufen und dann die erste URL aus obigem Screenshot im Tab URL <\/em>eingetippt. Darauf hin wurde mir folgendes Ergebnis<\/a> angezeigt (siehe folgendes Bild).<\/p>\n

\"Exchange<\/a><\/p>\n

Bei einem erneuten Test haben 6 Virenscanner den Link als \"Malicious\" (sch\u00e4dlich) erkannt. Auch bei der zweiten URL\u00a0 sieht das Ergebnis von Virustotal nicht wesentlich positiver aus (folgendes Bild). Ich habe beim Schreiben dieses Beitrags (am 2. Dez. 2021, um 12:41) den Test gemacht, wobei 9 von 93 Scannern das Link-Ziel als sch\u00e4dlich erkannt haben.<\/p>\n

\"Exchange<\/a><\/p>\n

Die erste URL liefert nach wie vor den Statuscode 200 (OK) bei einer Abfrage des Webservers, w\u00e4hrend die zweite URL den Statuscode 404 (not found) bei Server-Anfragen liefert. Zumindest ist der zweite Download erkannt und vom Server entfernt worden – Virustotal scheint auf eine gespeicherte interne Analyse zuzugreifen.<\/p>\n

In diesem Kommentar<\/a> zum Artikel \u00fcber gehackte Exchange-Server hat Leser Blacki etwas \u00e4hnliches berichtet – ohne die URLs offen zu legen.<\/p><\/blockquote>\n

Exchange-Server als Sicherheitsrisiko<\/h2>\n

Es ist ein Thema, welches ich die Tage mehrfach in Blog-Beitr\u00e4gen aufgegriffen habe. Cyber-Kriminelle versuchen Exchange Server \u00fcber Sicherheitsl\u00fccken anzugreifen und eine WebShell zu implementieren. \u00dcber diese WebShell lassen sich dann Postf\u00e4cher kompromittieren und anschlie\u00dfend zum Versand von Phishing- oder SPAM-Mails missbrauchen. Da die Nachrichten von bekannten Absendern bei den Empf\u00e4ngern eintreffen, sch\u00f6pfen diese m\u00f6glicherweise weniger Verdacht.<\/p>\n

Ich tippe vom Bauchgef\u00fchl, dass der IKEA-Fall (Cyber-Angriff auf IKEAs-Mail-System, Trojaner im Gep\u00e4ck<\/a>) \u00fcber diese Schiene gelaufen sein k\u00f6nnte, da die Angreifer f\u00fcr ihren Reply-Mail-Angriff mutma\u00dflich nicht nur ein Postfach missbraucht haben. CERT-Bund hat das Internet nach Exchange-Servern scannen lassen, deren Outlook Web Access-Schnittstelle (OWA, gerne auch als Open Web Access verballhornt) per Web erreichbar ist. Nachfolgend die Kernaussage dieses Scans:<\/p>\n

\"CERT-Bund-Warnung<\/a><\/p>\n

Die nachfolgenden Links f\u00fchren zu Artikeln, in denen ich in den letzten Tagen und Wochen Hacks von Exchange-Servern \u00fcber die ProxyShell-Schwachstellen thematisiert habe.<\/p>\n

CERT-Bund-Warnung: 30% der deutschen Exchange Server mit offenem OWA angreifbar<\/a>
\nBSI\/CERT-Warnung: Kompromittierte Exchange-Server werden f\u00fcr E-Mail-Angriffe missbraucht (Nov. 2021)<\/a>
\nWarnung (CERT-Bund, USA, GB) vor Angriffen auf Exchange und Fortinet<\/a>
\nProxyNoShell: Mandiant warnt vor neuen Angriffsmethoden auf Exchange-Server (Nov. 2021)<\/a>
\nWarnung: ProxyShell, Squirrelwaffle und ein PoC-Exploit, patcht endlich eure Exchange-Server<\/a><\/p>\n

M\u00f6glicherweise fragt sich mancher Blog-Leser und manche Blog-Leserin, warum zum Teufel da nicht zeitnah gepatcht wird. Oft sind es Exchange-Installationen, die mal von Dienstleistern eingerichtet wurden. Diese werden nicht wirklich betreut und laufen dann ungepatcht mit bekannten Sicherheitsl\u00fccken und sind per OWA \u00fcber das Internet erreichbar.<\/p>\n

Aber es gibt noch eine weitere, unbekannte Gefahr, die ich im Blog-Beitrag CERT-Bund-Warnung: 30% der deutschen Exchange Server mit offenem OWA angreifbar<\/a> kurz erw\u00e4hnt habe. Die Administratoren installieren die CUs und die Exchange-Sicherheitsupdates zeitnah, aber die Schwachstellen sind trotzdem nicht geschlossen. Der Exchange Server meldet dem Administrator bei einer \u00dcberpr\u00fcfung, dass die neuesten Sicherheitsupdates installiert sind, obwohl die Schwachstellen weiterhin existieren.<\/p>\n

Die Ursache ist nicht so ganz klar, man geht davon aus, dass die Installation der Updates nicht sauber durchgelaufen sind und die Patches unwirksam blieben. Hier m\u00f6chte ich alle Exchange-Administratoren auf diesen Kommentar<\/a> von D verweisen, der dort ein PowerShell-Script gepostet hat, mit dem man die Dateidatums-Stempel auf dem Exchange-Server mit den Vorgaben aus dem Update-Paket vergleichen kann. Vielleicht hilft es.<\/p>\n

Artikel des Security-Adventskalenders
\n<\/strong>1.\u00a0Microsoft Defender Version 1.353.1874.0 meldet f\u00e4lschlich Trickbot\/Emotet<\/a>
\n2.\u00a0Windows 10\/11: Falle beim \"trusted\" Apps-Installer; Emotet nutzt das<\/a>
\n3.\u00a0Beispiele f\u00fcr Viren-Mails nach \u00dcbernahme eines Exchange-Servers<\/a>
\n4.\u00a0Phishing-Angriffe von Staatshackern \u00fcber neue RTF-Template-Injection-Technik<\/a>
\n5.\u00a0BSI-Empfehlung: Reagiert nicht auf SPAM-Mails<\/a>
\n6.\u00a0Android App Barcode Scanner Lite mit Trojaner \u2013 \u00f6ffnet zuf\u00e4llige Webseiten<\/a>
\n7.\u00a0Cyberangriff auf SPAR-Lebensmittelgesch\u00e4fte in Yorkshire\/England<\/a>
\n8.\u00a0Excel XLL-Addins f\u00fcr Malware-Installation missbraucht<\/a>
\n9.\u00a0Hellmann Logistics Opfer eines Cyberangriffs<\/a>
\n10.\u00a0Cloud-Dienste \u00fcber USB-over-Ethernet-Schwachstellen angreifbar<\/a>
\n11.\u00a0Malware in Android Apps am Beispiel von GriftHorse<\/a>
\n12.\u00a0Azure Privilege Escalation durch Missbrauch der Azure API-Permissions<\/a>
\n13.\u00a0Phishing-Angriffe auf deutsche Kunden nutzen QR-Codes, um Bankdaten zu stehlen<\/a>
\n14.\u00a0Mirai Botnet Moobot zielt auf Hikvision-Kamerasysteme<\/a>
\n15.\u00a0Windows, TPM, MEM, und Intune: H\u00fcrden beim Motherboard-Wechsel<\/a>
\n16:\u00a0H\u00e4ufige Login-Versuche an Routern (FRITZ!Box)<\/a>
\n17:\u00a0Insides zu Irelands Public Healthcare Ransomware-Fall<\/a>
\n18:\u00a0Sennheiser legt Kundendaten \u00fcber alte Cloud-Instanz offen<\/a>
\n19:\u00a0Analyse, wie TeamTNT Docker-Hub-Konten kompromittiert<\/a>
\n20:\u00a0CPUID Enumerator and Decoder: Virenfrei, aber von Virustotal geflaggt<\/a>
\n21:\u00a0Google Play Protect: Bei Android-Sicherheitstests im Sommer 2021 durchgefallen<\/a>
\n22:\u00a0Tipps f\u00fcr mehr Schutz gegen Smishing-Attacken<\/a>
\n23:\u00a0BSI warnt: Erh\u00f6hte Bedrohung durch Ransomware-Angriffe zu Weihnachten<\/a>
\n24: Google Zweifaktor-Authentifizierung (2FA), was man wissen sollte<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Und schon sind wir beim dritten T\u00fcrchen im Security-Adventskalender meines Blogs. Ich hatte ja hier im Blog mehrfach gewarnt, dass ungepatchte Exchange-Server \u00fcbernommen und zum Spam-Versand missbraucht werden. Ein Blog-Leser hat mir nun eine kurze Info zukommen lassen (danke), weil … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[5359,4328],"class_list":["post-260088","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-exchange","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/260088","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=260088"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/260088\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=260088"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=260088"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=260088"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}