Microsoft hat eine Zunahme von Angriffen auf Exchange Server registriert, bei denen eine Schadsoftware für Microsofts Web Server Internet Information Services (IIS) zum Einsatz kommt. Ziel ist es demnach, eine Backdoor zu installieren oder Anmeldedaten zu stehlen. Nach Angaben des Unternehmens sind die Angriffe zudem nur schlecht zu erkennen, da die Hintermänner schädliche IIS-Erweiterungen nutzen.
Diese seien zwar nicht so weit verbreitet wie Web Shells für Angriffe auf Exchange Server, aber leichter zu tarnen, so Microsoft weiter. Der Analyse des Unternehmens zufolge befinden sich die schädlichen Erweiterungen in der Regel in denselben Verzeichnissen wie die legitimen Module der Zielanwendungen. Zudem folgten sie derselben Codestruktur wie saubere Module. Als Folge sei es schwierig, sie als gefährlich einzustufen. Auch das Aufspüren der Quelle einer Infektion sei kompliziert.
Die neuen Erkenntnisse gewann Microsoft bei der Untersuchung einer Kampagne im Zeitraum zwischen Januar und Mai 2022, bei der Angreifer speziell gestaltete IIS-Module einschleusten. „Sobald die Hintertür bei der Zielanwendung registriert ist, kann sie eingehende und ausgehende Anfragen überwachen und zusätzliche Aufgaben ausführen, beispielsweise Remote-Befehle ausführen oder Anmeldedaten im Hintergrund ausgeben, während sich der Benutzer bei der Webanwendung authentifiziert“, erläuterte Microsoft.
Microsoft stellt Incident-Response-Teams Details über die Funktionsweise von IIS und die Arten von Angriffen zur Verfügung, damit Kunden sich dagegen verteidigen können. Microsoft geht davon aus, dass Angreifer in Zukunft verstärkt IIS-Hintertüren verwenden werden.
Bereits zwischen März und Juni 2021 hatte der Sicherheitsanbieter Eset eine Welle von IIS-Hintertüren erfasst. Sie wurden über die ProxyLogon genannten Schwachstellen verbreitet, die auch Exchange betreffen. „Speziell ins Visier genommen wurden Exchange-Server, auf denen Outlook on the Web (OWA) aktiviert ist – da IIS zur Implementierung von OWA verwendet wird, waren diese ein besonders interessantes Ziel für Spionage.“
LLMs besitzen einerseits innovative neue Fähigkeiten, stellen Unternehmen allerdings auch vor diverse Herausforderungen: ob EU…
Server-Ausbau in den USA und China macht große Fortschritte, deutscher Weltmarktanteil sinkt. Lichtblicke in Frankfurt…
Der Markt für Workplace Services gerät in Bewegung. Das bestmögliche digitale Nutzererlebnis gilt als Schlüssel…
Schutz für 10.000 Postfächer über rund 200 Domains: Private-Stack-Variante kombiniert Vorteile einer Cloud-Lösung mit Sicherheit…
Huawei Connect Paris: Innovationen rund um Data Center, Storage und IT-Sicherheit.
Mit KI optimieren Hacker ihre Angriffsversuche. Ist CIAM eine Lösung, mit der sich Unternehmen vor…