Microsoft warnt vor Angriffen mit Backdoor auf Exchange Server

Microsoft hat eine Zunahme von Angriffen auf Exchange Server registriert, bei denen eine Schadsoftware für Microsofts Web Server Internet Information Services (IIS) zum Einsatz kommt. Ziel ist es demnach, eine Backdoor zu installieren oder Anmeldedaten zu stehlen. Nach Angaben des Unternehmens sind die Angriffe zudem nur schlecht zu erkennen, da die Hintermänner schädliche IIS-Erweiterungen nutzen.

Diese seien zwar nicht so weit verbreitet wie Web Shells für Angriffe auf Exchange Server, aber leichter zu tarnen, so Microsoft weiter. Der Analyse des Unternehmens zufolge befinden sich die schädlichen Erweiterungen in der Regel in denselben Verzeichnissen wie die legitimen Module der Zielanwendungen. Zudem folgten sie derselben Codestruktur wie saubere Module. Als Folge sei es schwierig, sie als gefährlich einzustufen. Auch das Aufspüren der Quelle einer Infektion sei kompliziert.

Die neuen Erkenntnisse gewann Microsoft bei der Untersuchung einer Kampagne im Zeitraum zwischen Januar und Mai 2022, bei der Angreifer speziell gestaltete IIS-Module einschleusten. „Sobald die Hintertür bei der Zielanwendung registriert ist, kann sie eingehende und ausgehende Anfragen überwachen und zusätzliche Aufgaben ausführen, beispielsweise Remote-Befehle ausführen oder Anmeldedaten im Hintergrund ausgeben, während sich der Benutzer bei der Webanwendung authentifiziert“, erläuterte Microsoft.

Microsoft stellt Incident-Response-Teams Details über die Funktionsweise von IIS und die Arten von Angriffen zur Verfügung, damit Kunden sich dagegen verteidigen können. Microsoft geht davon aus, dass Angreifer in Zukunft verstärkt IIS-Hintertüren verwenden werden.

Bereits zwischen März und Juni 2021 hatte der Sicherheitsanbieter Eset eine Welle von IIS-Hintertüren erfasst. Sie wurden über die ProxyLogon genannten Schwachstellen verbreitet, die auch Exchange betreffen. „Speziell ins Visier genommen wurden Exchange-Server, auf denen Outlook on the Web (OWA) aktiviert ist – da IIS zur Implementierung von OWA verwendet wird, waren diese ein besonders interessantes Ziel für Spionage.“

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die Redaktionen von Silicon.de und ZDNet.de. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Komplexität reduzieren und mit vorhandenen Ressourcen sicherer werden

"Unternehmen sollten Security-Investitionen neu bewerten, entscheiden, wo sie konsolidieren können und mit ähnlichem Geld sich…

3 Tagen ago

Chemiekonzern Kemira archiviert seine SAP-Daten und Dokumente in der Cloud

Kemira hat sich von langjähriger Archivierungslösung getrennt und vertraut nun der Archivierung in der Cloud…

4 Tagen ago

Use-Case: KI-Integration im deutschen Mittelstand

Auch im deutschen Mittelstand setzen mehr und mehr Unternehmen auf den Einsatz von künstlicher Intelligenz.…

5 Tagen ago

Intelligente Dateninfrastruktur für Porsche Motorsport

Ganzheitliche Datenlösungen von NetApp soll Performance auf der Rennstrecke steigern.

5 Tagen ago

Cybersicherheitssoftware: Der Schlüssel zur digitalen Resilienz

Cyberbedrohungen werden zunehmend komplexer und raffinierter, daher stehen Unternehmen vor der Herausforderung, ihre digitalen Vermögenswerte…

6 Tagen ago

Dachser setzt auf No-Code-Plattform für digitale Transformation

Das Logistikunternehmen nutzt No-Code-Plattform von smapOne. Rund 1.250 "Citizen Developer" entwickeln Apps für Prozessverbesserungen und…

6 Tagen ago