Microsoft warnt vor Angriffen auf Zero-Day-Lücken in Exchange Server
Unbefugte erhalten unter Umständen Zugriff auf Dienste wie Active Directory. Sie können auch ins Netzwerk eindringen, Daten stehlen und Schadcode ausführen. Ein Update ist in Arbeit.
Microsoft weist darauf hin, dass Hacker bereits die kürzlich öffentlich gemachten Zero-Day-Lücken in Exchange Server für ihre Zwecke ausnutzen. Sie erlauben es, in Netzwerke einzudringen und Daten zu stehlen. Der Softwarehersteller rechnet zudem mit einer Zunahme der Attacken.
Die beiden Anfälligkeiten mit den Kennungen CVE-2022-41040 und CVE-2022-41082 waren in der vergangenen Woche bekannt geworden. Hacker sind unter Umständen in der Lage, aus der Ferne auf interne Dienste zuzugreifen und beliebigen Code in Netzwerken auszuführen. In einem Blogeintrag räumt Microsoft nun ein, dass die ersten Angriffe bereits im August stattfanden.
Die Hintermänner der Attacken verknüpfen demnach beide Schwachstellen, um auf die Tastatur eines Exchange-Servers zuzugreifen und Daten aus dem Active Directory zu stehlen. Zu den bisher bekannten Opfern machte Microsoft keine Angaben.
Hintermänner erhalten wahrscheinlich staatliche Unterstützung
Allerdings gibt es laut Microsoft auch eine wichtige Einschränkung: bei Anfälligkeiten lassen sich nur durch einen angemeldeten Benutzer ausnutzen. Diese Hürde lässt sich jedoch mit Phishing, Brute-Force-Angriffen oder dem Kauf gestohlener Anmeldedaten überwinden.
Die eigentlichen Hintermänner konnte Microsoft bisher nicht identifizieren. Das Microsoft Threat Intelligence Team geht jedoch mit einer gewissen Zuversicht davon aus, dass hinter den Attacken eine einzelne Gruppe steckt. Sie soll zudem Unterstützung durch eine Nationalstaat erhalten.
Ein Sicherheitsfix, der die Zero-Day-Lücken schließen soll, sei bereits in Arbeit, so Microsoft weiter. Zu einem Zeitplan für die Veröffentlichung eines Updates äußerte sich Redmond jedoch nicht. Stattdessen erwartet der Softwareanbieter, dass die Zahl der Attacken noch vor Bereitstellung eines Updates zunehmen wird.
In seiner Sicherheitswarnung beschreibt Microsoft auch Schritte, mit denen sich die Auswirkungen von Angriffen minimieren lassen. Darunter ist die Empfehlung, den Remote-Zugriff auf die Power-Shell für Nicht-Administratoren abzuschalten.