Microsoft warnt vor Angriffen mit Backdoor auf Exchange Server

Microsoft hat eine Zunahme von Angriffen auf Exchange Server registriert, bei denen eine Schadsoftware für Microsofts Web Server Internet Information Services (IIS) zum Einsatz kommt. Ziel ist es demnach, eine Backdoor zu installieren oder Anmeldedaten zu stehlen. Nach Angaben des Unternehmens sind die Angriffe zudem nur schlecht zu erkennen, da die Hintermänner schädliche IIS-Erweiterungen nutzen.

Diese seien zwar nicht so weit verbreitet wie Web Shells für Angriffe auf Exchange Server, aber leichter zu tarnen, so Microsoft weiter. Der Analyse des Unternehmens zufolge befinden sich die schädlichen Erweiterungen in der Regel in denselben Verzeichnissen wie die legitimen Module der Zielanwendungen. Zudem folgten sie derselben Codestruktur wie saubere Module. Als Folge sei es schwierig, sie als gefährlich einzustufen. Auch das Aufspüren der Quelle einer Infektion sei kompliziert.

Die neuen Erkenntnisse gewann Microsoft bei der Untersuchung einer Kampagne im Zeitraum zwischen Januar und Mai 2022, bei der Angreifer speziell gestaltete IIS-Module einschleusten. „Sobald die Hintertür bei der Zielanwendung registriert ist, kann sie eingehende und ausgehende Anfragen überwachen und zusätzliche Aufgaben ausführen, beispielsweise Remote-Befehle ausführen oder Anmeldedaten im Hintergrund ausgeben, während sich der Benutzer bei der Webanwendung authentifiziert“, erläuterte Microsoft.

Microsoft stellt Incident-Response-Teams Details über die Funktionsweise von IIS und die Arten von Angriffen zur Verfügung, damit Kunden sich dagegen verteidigen können. Microsoft geht davon aus, dass Angreifer in Zukunft verstärkt IIS-Hintertüren verwenden werden.

Bereits zwischen März und Juni 2021 hatte der Sicherheitsanbieter Eset eine Welle von IIS-Hintertüren erfasst. Sie wurden über die ProxyLogon genannten Schwachstellen verbreitet, die auch Exchange betreffen. „Speziell ins Visier genommen wurden Exchange-Server, auf denen Outlook on the Web (OWA) aktiviert ist – da IIS zur Implementierung von OWA verwendet wird, waren diese ein besonders interessantes Ziel für Spionage.“

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die Redaktionen von Silicon.de und ZDNet.de. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Alle Prozesse im Blick: IT-Service Management bei der Haspa

Wo es früher auf Buchhalter, Schreiber und Boten ankam, geht es heute vor allem um…

12 Stunden ago

Wie generative KI das Geschäft rund um den Black Friday verändert

Mit KI-Technologien lässt sich das Einkaufserlebnis personalisieren und der Service optimieren, sagt Gastautor Gabriel Frasconi…

13 Stunden ago

Banken und Versicherer sind KI-Großabnehmer

Ein Großteil der weltweiten KI-Gelder fließt in den Finanzsektor. 2023 wurden in der Branche 87…

1 Tag ago

Siemens legt 10 Milliarden Dollar für Software-Spezialisten auf den Tisch

Die Übernahme des US-amerikanischen Anbieters Altair Engineering soll die Position im Markt für Computational Science…

1 Tag ago

Standortübergreifender KI-Einsatz im OP-Saal

Ein deutsch-französisches Projekt hat hybride Operationssäle entwickelt, die durch 5G-Netz und KI neue Anwendungen ermöglichen.

1 Tag ago

OT-Security braucht zunächst Asset-Transparenz

Unternehmen wissen oft nicht, welche Geräte in der Produktion eine IP-Adresse haben, warnt Peter Machat…

4 Tagen ago