Highlight
Keylogger in der Startseite von Exchange-Servern stiehlt Login-Daten
Bisher noch unbekannten Angreifern ist es gelungen, einen Keylogger in die Login-Seiten von Exchange-Servern in aller Welt zu integrieren. Wenn sich Mitarbeiter von Unternehmen und Behörden einloggten, schrieb dieser ihre Zugangsdaten mit.
Hauptsächlich waren Behörden in Afrika und im Nahen Osten betroffen, teilten die Sicherheitsforscher mit. Aber auch Bildungseinrichtungen, IT-Firmen und andere Unternehmen gehörten zu den Opfern. Diese müssen zumindest davon ausgehen, dass die Angreifer die E-Mail-Kommunikation diverser Mitarbeiter abgegriffen und ausgewertet haben. Die betroffenen Organisationen sind über die Sache informiert worden.
In einigen Fällen konnten die Experten von Positive Technologies bei ihren Analysen des Keyloggers bereits nachweisen, dass der Schadcode etwa seit dieser Zeit in der Exchange-Installation vorhanden ist. Die betroffenen Organisationen tragen somit aufgrund von Nachlässigkeiten bei der Pflege ihrer Systeme zumindest bis zu einem gewissen Grad eine Mitschuld.
Keylogger-Code in der Exchange-Startseite
Sollte man die Befürchtung haben, dass der eigene Exchange-Server betroffen sein könnte, ist es relativ einfach, eine Prüfung durchzuführen. Es genügt hier, einen Blick in den Quellcode des Online-Zugangs zu den Exchange-Postfächern zu werfen, auf der Nutzer sich einloggen können. Der Keylogger nutzt hier folgenden Code:
Der Schadcode, den die Angreifer in die Systeme einschleusten, sorgt dafür, dass ausgelesene Login-Daten in eine Datei namens logon.aspx geschrieben werden. Diese ist über einen festen Pfad aus dem Internet direkt zugänglich, sodass die Angreifer sich die erbeuteten Zugangsdaten manuell abholen können.
Siehe auch:
Ziel sind vor allem Behörden
Aktuell ist der genaue Umfang des Vorfalls noch ein wenig unklar. Die Sicherheitsexperten des Unternehmens Positive Technologies hatten den Keylogger-Code in der Startseite eines Exchange-Servers entdeckt (via Cyber Security News), als sie einen Security-Vorfall untersuchten. Seitdem konnte der gleiche Code bei den Exchange-Installationen von mehr als 30 Organisationen in verschiedenen Ländern rund um die Welt nachgewiesen werden.Hauptsächlich waren Behörden in Afrika und im Nahen Osten betroffen, teilten die Sicherheitsforscher mit. Aber auch Bildungseinrichtungen, IT-Firmen und andere Unternehmen gehörten zu den Opfern. Diese müssen zumindest davon ausgehen, dass die Angreifer die E-Mail-Kommunikation diverser Mitarbeiter abgegriffen und ausgewertet haben. Die betroffenen Organisationen sind über die Sache informiert worden.
Opfer sind mitschuldig
Microsoft als Hersteller des Exchange-Servers kann hier nicht besonders viel tun. Denn die Grundlage des Angriffs ist eine schon länger bekannte ProxyShell-Sicherheitslücke, die in aktuellen Software-Versionen längst behoben ist. Mit einem Exploit gegen die Schwachstelle hatte ein Teilnehmer des Hackerwettbewerbs Pwn2Own bereits im Jahr 2021 ein Preisgeld von 200.000 Dollar gewonnen.In einigen Fällen konnten die Experten von Positive Technologies bei ihren Analysen des Keyloggers bereits nachweisen, dass der Schadcode etwa seit dieser Zeit in der Exchange-Installation vorhanden ist. Die betroffenen Organisationen tragen somit aufgrund von Nachlässigkeiten bei der Pflege ihrer Systeme zumindest bis zu einem gewissen Grad eine Mitschuld.
Keylogger-Code in der Exchange-Startseite
Sollte man die Befürchtung haben, dass der eigene Exchange-Server betroffen sein könnte, ist es relativ einfach, eine Prüfung durchzuführen. Es genügt hier, einen Blick in den Quellcode des Online-Zugangs zu den Exchange-Postfächern zu werfen, auf der Nutzer sich einloggen können. Der Keylogger nutzt hier folgenden Code:
var ObjectData = "ObjectType=" + escape(curTime + "\t" + gbid("username").value + "\t" + gbid("password").value) + "&uin=" + Math.random().toString(16).substring(2);
Der Schadcode, den die Angreifer in die Systeme einschleusten, sorgt dafür, dass ausgelesene Login-Daten in eine Datei namens logon.aspx geschrieben werden. Diese ist über einen festen Pfad aus dem Internet direkt zugänglich, sodass die Angreifer sich die erbeuteten Zugangsdaten manuell abholen können.
Patchen! Patchen! Patchen!
Einmal mehr zeigt dieser Fall, wie wichtig es ist, Software-Installationen auf einem aktuellen Stand zu halten. Allein schon ein halbwegs zeitnahes Einspielen von Patches hätte diesen Angriff verhindert. Noch besser wäre es natürlich, eine Multi-Faktor-Authentifizierung einzusetzen, die dafür sorgen würde, dass Angreifer auch mit gestohlenen Login-Daten nicht weiterkommen.
Zusammenfassung
- Unbekannte Angreifer integrierten einen Keylogger in globale Exchange-Login-Seiten
- Keylogger schrieb Zugangsdaten von Mitarbeitern bei der Anmeldung mit
- Positive Technologies entdeckte den Keylogger bei einer Sicherheitsuntersuchung
- Über 30 Organisationen weltweit sind von der Sicherheitslücke betroffen
- Hauptsächlich Behörden in Afrika und Nahost, aber auch Bildungseinrichtungen und IT-Firmen
- Microsoft kann wenig tun, da die ProxyShell-Lücke in aktuellen Versionen behoben ist
- Nachlässigkeiten bei Systempflege tragen zur Verbreitung des Schadcodes bei
- Keylogger schreibt Login-Daten in eine über das Internet zugängliche Datei
- Wichtigkeit der Aktualisierung von Software und Nutzung von Multi-Faktor-Authentifizierung
Siehe auch:
- ProxyShell-Exploit: Microsoft ermahnt zum Exchange-Server-Update
- ProxyShell-Exploits: Microsoft Exchange-Server werden aktiv gehackt
- Exchange Online: Microsoft startet neue Bekämpfung von Massen-Mails
- BSI: Fahrlässige Admins gefährden zehntausende Exchange-Server
- Exchange Online: Nutzer werden von Sendeproblemen geplagt
Thema:
Beliebte Downloads
Beliebt im Preisvergleich
- Internet Security:
Neue Nachrichten
Beliebte Nachrichten
Videos
Christian Kahle
Redakteur bei WinFuture
Ich empfehle ...
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen