Microsoft warnt vor Angriffen mit Backdoor auf Exchange Server

Microsoft hat eine Zunahme von Angriffen auf Exchange Server registriert, bei denen eine Schadsoftware für Microsofts Web Server Internet Information Services (IIS) zum Einsatz kommt. Ziel ist es demnach, eine Backdoor zu installieren oder Anmeldedaten zu stehlen. Nach Angaben des Unternehmens sind die Angriffe zudem nur schlecht zu erkennen, da die Hintermänner schädliche IIS-Erweiterungen nutzen.

Diese seien zwar nicht so weit verbreitet wie Web Shells für Angriffe auf Exchange Server, aber leichter zu tarnen, so Microsoft weiter. Der Analyse des Unternehmens zufolge befinden sich die schädlichen Erweiterungen in der Regel in denselben Verzeichnissen wie die legitimen Module der Zielanwendungen. Zudem folgten sie derselben Codestruktur wie saubere Module. Als Folge sei es schwierig, sie als gefährlich einzustufen. Auch das Aufspüren der Quelle einer Infektion sei kompliziert.

Die neuen Erkenntnisse gewann Microsoft bei der Untersuchung einer Kampagne im Zeitraum zwischen Januar und Mai 2022, bei der Angreifer speziell gestaltete IIS-Module einschleusten. „Sobald die Hintertür bei der Zielanwendung registriert ist, kann sie eingehende und ausgehende Anfragen überwachen und zusätzliche Aufgaben ausführen, beispielsweise Remote-Befehle ausführen oder Anmeldedaten im Hintergrund ausgeben, während sich der Benutzer bei der Webanwendung authentifiziert“, erläuterte Microsoft.

Microsoft stellt Incident-Response-Teams Details über die Funktionsweise von IIS und die Arten von Angriffen zur Verfügung, damit Kunden sich dagegen verteidigen können. Microsoft geht davon aus, dass Angreifer in Zukunft verstärkt IIS-Hintertüren verwenden werden.

Bereits zwischen März und Juni 2021 hatte der Sicherheitsanbieter Eset eine Welle von IIS-Hintertüren erfasst. Sie wurden über die ProxyLogon genannten Schwachstellen verbreitet, die auch Exchange betreffen. „Speziell ins Visier genommen wurden Exchange-Server, auf denen Outlook on the Web (OWA) aktiviert ist – da IIS zur Implementierung von OWA verwendet wird, waren diese ein besonders interessantes Ziel für Spionage.“

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die Redaktionen von Silicon.de und ZDNet.de. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

KI auf dem Prüfstand

LLMs besitzen einerseits innovative neue Fähigkeiten, stellen Unternehmen allerdings auch vor diverse Herausforderungen: ob EU…

6 Stunden ago

Rechenzentren: Deutschland verliert Anschluss

Server-Ausbau in den USA und China macht große Fortschritte, deutscher Weltmarktanteil sinkt. Lichtblicke in Frankfurt…

11 Stunden ago

KI steigert Nachfrage nach hybriden Workplace-Umgebungen

Der Markt für Workplace Services gerät in Bewegung. Das bestmögliche digitale Nutzererlebnis gilt als Schlüssel…

11 Stunden ago

Hagebau erreicht E-Mail-Sicherheit mit der NoSpamProxy Cloud

Schutz für 10.000 Postfächer über rund 200 Domains: Private-Stack-Variante kombiniert Vorteile einer Cloud-Lösung mit Sicherheit…

1 Tag ago

Rechenzentrumsnetzwerke als Schlüssel für Desaster Recovery

Huawei Connect Paris: Innovationen rund um Data Center, Storage und IT-Sicherheit.

1 Tag ago

Cybersecurity mit KI: Strategischer Vorteil oder Sicherheitsrisiko?

Mit KI optimieren Hacker ihre Angriffsversuche. Ist CIAM eine Lösung, mit der sich Unternehmen vor…

1 Tag ago