FBI löscht Web Shells von kompromittierten Exchange-Servern – ohne Wissen der Eigentümer

Das FBI hat in den USA Web Shells von Exchange-Servern entfernt, die über die Anfang März von Microsoft gepatchten Zero-Day-Lücken kompromittiert wurden. Die Bereinigung erfolgte jedoch ohne Wissen und Zustimmung der Betreiber der jeweiligen Server, aber mit Genehmigung der US-Justiz, wie das Department of Justice mitteilt.

“Viele Besitzer infizierter Systeme entfernten die Web-Shells erfolgreich von Tausenden von Computern. Andere schienen dazu nicht in der Lage zu sein, und Hunderte solcher Web-Shells blieben unverändert bestehen”, so das Justizministerium. “Das FBI führte die Entfernung durch, indem es über die Web-Shell einen Befehl an den Server gab, der den Server dazu veranlassen sollte, nur die Web-Shell (identifiziert durch ihren eindeutigen Dateipfad) zu löschen.”

Ende März zählte das Ministerium nach eigenen Angaben noch mehrere Hundert aktive Web Shells auf Exchange-Servern in den USA. Da jede Shell einen eigenen Namen und Dateipfad habe, hätten einige Server-Besitzer offenbar Probleme gehabt, die Shells zu finden und zu entfernen.

Zwar erfolgte die Löschung durch das FBI ohne das Wissen der Betreiber, diese sollen aber nun nachträglich über den Eingriff informiert werden. Zu diesem Zweck nutzt die US-Bundespolizei laut US-Justiz öffentlich verfügbare Kontaktdaten der Betroffenen. Sie erhielten nicht eine E-Mail von einem offiziellen FBI-E-Mail-Konto. Falls auf diese Art keine Kontaktaufnahme möglich sei, würden Betroffen über ihren Internet Service Provider benachrichtigt.

“Die heutige gerichtlich genehmigte Entfernung der bösartigen Web-Shells zeigt das Engagement des Ministeriums, Hacking-Aktivitäten mit allen unseren rechtlichen Mitteln zu unterbinden, nicht nur durch Strafverfolgung”, sagte der stellvertretende Generalstaatsanwalt für nationale Sicherheit John Demers. “Zusammen mit den bisherigen Bemühungen des privaten Sektors und anderer Regierungsbehörden, einschließlich der Veröffentlichung von Erkennungstools und Patches, zeigen wir gemeinsam die Stärke, die eine öffentlich-private Partnerschaft für die Cybersicherheit unseres Landes mit sich bringt.”

Entdeckt wurden die Zero-Day-Lücken in Exchange Server bereits im Januar 2021, anfänglich allerdings nur für zielgerichtete Angriffe. Nach der Veröffentlichung eines Notfall-Patches Anfang März durch Microsoft weiteten Hacker ihre Angriffsaktivitäten deutlich aus. Bereits wenige Tage später wurde die Zahl der Opfer allein in den USA auf mehr als 30.000 geschätzt. Am 24. März bestätigte Microsoft, dass inzwischen 92 Prozent der angreifbaren Server gepatcht oder anderweitig vor den Angriffen geschützt seien. Das Unternehmen wies aber auch darauf hin, dass die Installation der Patches eine möglicherweise bereits erfolgte Infektion mit Schadsoftware rückgängig mache.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die Redaktionen von Silicon.de und ZDNet.de. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Silicon Security Day: Künstliche Intelligenz in der Cyber-Security

Cyberangreifer setzen zunehmend KI als Waffe ein, um ihre Angriffe noch zielführender zu starten –…

2 Tagen ago

Hacking-Event Pwn2Own: 25 Zero-Day-Schwachstellen aufgedeckt

Die Hunter nahmen Unternehmenssoftware ins Visier, um Schwachstellen in häufig genutzten Anwendungen ausfindig zu machen.

2 Tagen ago

Echte Security-KI für den OnPrem-Betrieb

Sie heißt LARA. Sie ist eine Security-KI, die sich auf die individuellen Anforderungen von Kunden…

2 Tagen ago

Schnelle Klicks mit schlimmen Folgen

Mit psychologischen Tricks verleiten Spear-Phishing-Angreifer ihre Opfer zu schnellen Klicks auf betrügerische Mails, warnt David…

3 Tagen ago

Lieferkettensorgfalts- pflichtengesetz setzt Unternehmen unter Zugzwang

Modebranche, Textilindustrie und Einzelhandel stehen unter Druck, die Vorgaben des Lieferkettensorgfaltspflichtengesetz (LkSG) ab Januar 2023…

3 Tagen ago

Mit DevOps die Produktivität und Qualität von Software-Releases erhöhen

Das DevOps-Konzept erfordert eine weitflächige Automatisierung, um die Prozesse der Softwareentwicklung zu verbessern, sagt Gastautorin…

4 Tagen ago