Microsoft warnt vor Angriffen mit Backdoor auf Exchange Server

Exchange Server (Bild: Microsoft)

Cyberkriminelle setzen auf schädliche Module für Microsofts Internet Information Services. Diese sind allerdings nur schwer aufzuspüren.

Microsoft hat eine Zunahme von Angriffen auf Exchange Server registriert, bei denen eine Schadsoftware für Microsofts Web Server Internet Information Services (IIS) zum Einsatz kommt. Ziel ist es demnach, eine Backdoor zu installieren oder Anmeldedaten zu stehlen. Nach Angaben des Unternehmens sind die Angriffe zudem nur schlecht zu erkennen, da die Hintermänner schädliche IIS-Erweiterungen nutzen.

Diese seien zwar nicht so weit verbreitet wie Web Shells für Angriffe auf Exchange Server, aber leichter zu tarnen, so Microsoft weiter. Der Analyse des Unternehmens zufolge befinden sich die schädlichen Erweiterungen in der Regel in denselben Verzeichnissen wie die legitimen Module der Zielanwendungen. Zudem folgten sie derselben Codestruktur wie saubere Module. Als Folge sei es schwierig, sie als gefährlich einzustufen. Auch das Aufspüren der Quelle einer Infektion sei kompliziert.

Die neuen Erkenntnisse gewann Microsoft bei der Untersuchung einer Kampagne im Zeitraum zwischen Januar und Mai 2022, bei der Angreifer speziell gestaltete IIS-Module einschleusten. „Sobald die Hintertür bei der Zielanwendung registriert ist, kann sie eingehende und ausgehende Anfragen überwachen und zusätzliche Aufgaben ausführen, beispielsweise Remote-Befehle ausführen oder Anmeldedaten im Hintergrund ausgeben, während sich der Benutzer bei der Webanwendung authentifiziert“, erläuterte Microsoft.

Microsoft stellt Incident-Response-Teams Details über die Funktionsweise von IIS und die Arten von Angriffen zur Verfügung, damit Kunden sich dagegen verteidigen können. Microsoft geht davon aus, dass Angreifer in Zukunft verstärkt IIS-Hintertüren verwenden werden.

Bereits zwischen März und Juni 2021 hatte der Sicherheitsanbieter Eset eine Welle von IIS-Hintertüren erfasst. Sie wurden über die ProxyLogon genannten Schwachstellen verbreitet, die auch Exchange betreffen. „Speziell ins Visier genommen wurden Exchange-Server, auf denen Outlook on the Web (OWA) aktiviert ist – da IIS zur Implementierung von OWA verwendet wird, waren diese ein besonders interessantes Ziel für Spionage.“