Beispiele für Viren-Mails nach Übernahme eines Exchange-Servers

Sicherheit (Pexels, allgemeine Nutzung)[English]Und schon sind wir beim dritten Türchen im Security-Adventskalender meines Blogs. Ich hatte ja hier im Blog mehrfach gewarnt, dass ungepatchte Exchange-Server übernommen und zum Spam-Versand missbraucht werden. Ein Blog-Leser hat mir nun eine kurze Info zukommen lassen (danke), weil er einen kompromittierten Exchange-Server gefunden hat, der kompromittiert war und infizierte Spam-Mails verschickte.


Anzeige

Ein Beispiel kompromittierter Mails

Blog-Leser Fabian M. arbeitet als Administrator und hat mich zum 1. Dezember 2021 per Mail kontaktiert. Er hatte Zugriff auf E-Mails, die von einem kompromittierten Exchange Server verschickt wurden und hat mir folgendes geschrieben.

Anbei ein Beispiel für Emails die über einen übernommenen Exchange verschickt wurden. In diesem Fall ein Handwerksbetrieb.

Die Emails waren jeweils Antworten auf Orginalmails.

Es gab immer zwei Links zu unterschiedlichen Seiten.

Gemeinsam war das vorangestellte *) und die gleiche Zahlenkombination am Ende der Links.

Die betroffenen Webseiten war aber jedes mal andere.

Der Blog-Leser hat mir noch den obigen Screenshot zugeschickt, der die URLs auf Seiten enthält, die der Empfänger der Mails besuchen soll. Fabian schrieb, dass (Stand 11.30 Uhr 1.12.2021) laut Virustotal nur Kaspersky den Virus erkannt habe. Nun ist man gut beraten, die obigen Adressen nicht einfach im Browser einzutippen, um zu schauen, was passiert. Ich habe am 2. 12. 2021 die Seite von Virustotal aufgerufen und dann die erste URL aus obigem Screenshot im Tab URL eingetippt. Darauf hin wurde mir folgendes Ergebnis angezeigt (siehe folgendes Bild).

Exchange Virus

Bei einem erneuten Test haben 6 Virenscanner den Link als "Malicious" (schädlich) erkannt. Auch bei der zweiten URL  sieht das Ergebnis von Virustotal nicht wesentlich positiver aus (folgendes Bild). Ich habe beim Schreiben dieses Beitrags (am 2. Dez. 2021, um 12:41) den Test gemacht, wobei 9 von 93 Scannern das Link-Ziel als schädlich erkannt haben.

Exchange Virus

Die erste URL liefert nach wie vor den Statuscode 200 (OK) bei einer Abfrage des Webservers, während die zweite URL den Statuscode 404 (not found) bei Server-Anfragen liefert. Zumindest ist der zweite Download erkannt und vom Server entfernt worden – Virustotal scheint auf eine gespeicherte interne Analyse zuzugreifen.

In diesem Kommentar zum Artikel über gehackte Exchange-Server hat Leser Blacki etwas ähnliches berichtet – ohne die URLs offen zu legen.

Exchange-Server als Sicherheitsrisiko

Es ist ein Thema, welches ich die Tage mehrfach in Blog-Beiträgen aufgegriffen habe. Cyber-Kriminelle versuchen Exchange Server über Sicherheitslücken anzugreifen und eine WebShell zu implementieren. Über diese WebShell lassen sich dann Postfächer kompromittieren und anschließend zum Versand von Phishing- oder SPAM-Mails missbrauchen. Da die Nachrichten von bekannten Absendern bei den Empfängern eintreffen, schöpfen diese möglicherweise weniger Verdacht.


Anzeige

Ich tippe vom Bauchgefühl, dass der IKEA-Fall (Cyber-Angriff auf IKEAs-Mail-System, Trojaner im Gepäck) über diese Schiene gelaufen sein könnte, da die Angreifer für ihren Reply-Mail-Angriff mutmaßlich nicht nur ein Postfach missbraucht haben. CERT-Bund hat das Internet nach Exchange-Servern scannen lassen, deren Outlook Web Access-Schnittstelle (OWA, gerne auch als Open Web Access verballhornt) per Web erreichbar ist. Nachfolgend die Kernaussage dieses Scans:

CERT-Bund-Warnung Exchange-Schwachstellen

Die nachfolgenden Links führen zu Artikeln, in denen ich in den letzten Tagen und Wochen Hacks von Exchange-Servern über die ProxyShell-Schwachstellen thematisiert habe.

CERT-Bund-Warnung: 30% der deutschen Exchange Server mit offenem OWA angreifbar
BSI/CERT-Warnung: Kompromittierte Exchange-Server werden für E-Mail-Angriffe missbraucht (Nov. 2021)
Warnung (CERT-Bund, USA, GB) vor Angriffen auf Exchange und Fortinet
ProxyNoShell: Mandiant warnt vor neuen Angriffsmethoden auf Exchange-Server (Nov. 2021)
Warnung: ProxyShell, Squirrelwaffle und ein PoC-Exploit, patcht endlich eure Exchange-Server

Möglicherweise fragt sich mancher Blog-Leser und manche Blog-Leserin, warum zum Teufel da nicht zeitnah gepatcht wird. Oft sind es Exchange-Installationen, die mal von Dienstleistern eingerichtet wurden. Diese werden nicht wirklich betreut und laufen dann ungepatcht mit bekannten Sicherheitslücken und sind per OWA über das Internet erreichbar.

Aber es gibt noch eine weitere, unbekannte Gefahr, die ich im Blog-Beitrag CERT-Bund-Warnung: 30% der deutschen Exchange Server mit offenem OWA angreifbar kurz erwähnt habe. Die Administratoren installieren die CUs und die Exchange-Sicherheitsupdates zeitnah, aber die Schwachstellen sind trotzdem nicht geschlossen. Der Exchange Server meldet dem Administrator bei einer Überprüfung, dass die neuesten Sicherheitsupdates installiert sind, obwohl die Schwachstellen weiterhin existieren.

Die Ursache ist nicht so ganz klar, man geht davon aus, dass die Installation der Updates nicht sauber durchgelaufen sind und die Patches unwirksam blieben. Hier möchte ich alle Exchange-Administratoren auf diesen Kommentar von D verweisen, der dort ein PowerShell-Script gepostet hat, mit dem man die Dateidatums-Stempel auf dem Exchange-Server mit den Vorgaben aus dem Update-Paket vergleichen kann. Vielleicht hilft es.

Artikel des Security-Adventskalenders
1. Microsoft Defender Version 1.353.1874.0 meldet fälschlich Trickbot/Emotet
2. Windows 10/11: Falle beim "trusted" Apps-Installer; Emotet nutzt das
3. Beispiele für Viren-Mails nach Übernahme eines Exchange-Servers
4. Phishing-Angriffe von Staatshackern über neue RTF-Template-Injection-Technik
5. BSI-Empfehlung: Reagiert nicht auf SPAM-Mails
6. Android App Barcode Scanner Lite mit Trojaner – öffnet zufällige Webseiten
7. Cyberangriff auf SPAR-Lebensmittelgeschäfte in Yorkshire/England
8. Excel XLL-Addins für Malware-Installation missbraucht
9. Hellmann Logistics Opfer eines Cyberangriffs
10. Cloud-Dienste über USB-over-Ethernet-Schwachstellen angreifbar
11. Malware in Android Apps am Beispiel von GriftHorse
12. Azure Privilege Escalation durch Missbrauch der Azure API-Permissions
13. Phishing-Angriffe auf deutsche Kunden nutzen QR-Codes, um Bankdaten zu stehlen
14. Mirai Botnet Moobot zielt auf Hikvision-Kamerasysteme
15. Windows, TPM, MEM, und Intune: Hürden beim Motherboard-Wechsel
16: Häufige Login-Versuche an Routern (FRITZ!Box)
17: Insides zu Irelands Public Healthcare Ransomware-Fall
18: Sennheiser legt Kundendaten über alte Cloud-Instanz offen
19: Analyse, wie TeamTNT Docker-Hub-Konten kompromittiert
20: CPUID Enumerator and Decoder: Virenfrei, aber von Virustotal geflaggt
21: Google Play Protect: Bei Android-Sicherheitstests im Sommer 2021 durchgefallen
22: Tipps für mehr Schutz gegen Smishing-Attacken
23: BSI warnt: Erhöhte Bedrohung durch Ransomware-Angriffe zu Weihnachten
24: Google Zweifaktor-Authentifizierung (2FA), was man wissen sollte


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

15 Antworten zu Beispiele für Viren-Mails nach Übernahme eines Exchange-Servers

  1. mw sagt:

    Exchange? Hold my beer!

    • Günter Born sagt:

      So ganz spontan ging mir folgendes bei deinem Kommentar durch den Kopf:

      Früher hieß es "Herrgott noch mal"
      Heute heißt es "Schon wieder Exchange"

      Zeiten ändern sich – und das kann man sich nicht mal schön saufen ;-)

  2. 1ST1 sagt:

    Und ich weiß schon, was sich hinter Tür 4 verbirgt, RTF-Dateien… Das wird ein hübscher Adventskalender.

  3. Blackii sagt:

    Moin,

    für einige Personen ist es auch besser, bösartige Links nicht zu posten :D
    Hatte von meinem Kollegen erfahren, dass die Firma bis zu seinem Anruf nicht wusste, dass ihr Exchange kompromittiert ist 😅

    MfG,
    Blackii

  4. Stefan sagt:

    @Günter: Eigentlich heißt es ja "Outlook Web Access", inzwischen trifft deine Version "Open Web Access" aber wohl auch zu 👌.

    Exchange patchen wird immer mehr zur Shitshow. Ein einziges Mal sah ich bei einem Exchange das über Windowsupdate das CU angeboten wurde, sonst nie. Warum geht das bis heute nicht? Nein, ich muss schauen ob es ein neues CU gibt und quasi die Komplettinstallation wieder drüberbügeln, anschließend dann das neue Patchupdate. Achja, nicht einfach doppelklicken, ist ja keine exe mit UAC sondern eine "tolle" msu-Datei, welche ohne UAC ja nicht alle Dateien austauschen kann. Achja, manchmal muss man dann ein AD-Schemaupdate machen, was auch immer hier geändert wird. Dann noch das Health-Powershell-Skript ausführen und die monierten Punkte noch durchgehen. Warum muss man in der Registry händisch die TLS-Versionen deaktivieren? Übrigens eine gute Idee wenn man Win7 ESU hat, dann geht Outlook nicht mehr. Wenn sie jetzt anfangen über die emergency mitigation selbst sachen zu ändern wird es wohl noch viel lustiger.

    Von der Funktion ist Exchange ja wirklich toll aber Mann, das zu warten wird immer weniger spaßig. Schon klar, MS will seine Kunden auf Office 365 aber die on-prem-Kunden so zu behandeln kanns auch nicht sein.

    • Günter Born sagt:

      Das mit dem "Outlook Web Access" hatte ich im Hinterkopf – hab dann mal eine Suchmaschine angeworfen, um mich nicht wieder in die Nesseln zu setzen, und bin (imho bei Microsoft) auf "Open Web Access" gestoßen. Jetzt bin ich am rätseln, ob Siggi Freud da unbewusst zugeschlagen hat und aus "Outlook" in meinem Hirn "Open" gemacht hat – trifft ja irgendwie auch zu ;-).

  5. Largot sagt:

    Guten Morgen,

    "Ich habe beim Schreiben dieses Beitrags (am 3. Dez. 2021, um 12:41) den Test gemacht,"
    Also heute Mittag? ;-)

    lg
    largot

    • Günter Born sagt:

      Ich habe gestern einen kurzen Beitrag – mehr von der Headline her – wahrgenommen. Die Botschaft: Die moderne Quantenphysik bzw. die momentan diskutierten Theorien enthalten Hinweise, dass Zeitreisen möglich sein könnten. Da ich mal physikalische Technik studierte, bevor ich mit Combuders auf Abwege geriet, muss mein umnebeltes Hirn wohl gedacht haben "probiere es mit der Zeitreise".

      Ich stelle gerade fest: Es hat nicht geklappt – also muss ich noch etwas an der Modellierung arbeiten und vielleicht die Eingangsparameter (samt Text) korrigieren ;-). Danke!

  6. Felix sagt:

    Ein weiteres Tool zum Testen ob Patches erfolgreich Durchgelaufen sind, und welche Schwachstellen noch offen sind kommt direkt von Microsoft.
    Wir haben es für unsere Exchange Server auch verwendet und wurden auf 2 Sicherheitsprobleme hingewiesen, welche noch offen sind.

    https://microsoft.github.io/CSS-Exchange/Diagnostics/HealthChecker/

    • Carsten sagt:

      Dies! Das Tool ist nicht neu und wird ständig aktualisiert. Spätestens seit Hafnium sollte man da mal drüber gestolpert sein. Das sollte jeder, der Exchange im Einsatz regelmäßig durchlaufen lassen. Auch nach jedem Update und sich den aktuellen Stand verifizieren zu lassen.

  7. Tobias sagt:

    Guten Tag zusammen,
    haben heute eine Mail exakt der o.a. Art erhalten. Ein Kunde scheint betroffen zu sein. Habe sofort versucht in der betroffenen Firma einen von der IT ans Telefon zu kriegen. Die Dame vom Empfang wusste zu berichten, dass der Kollege im Feierabend sei, sie aber schon den ganzen Tag Probleme mit "dem Emailprogramm" hatten… Ohne Worte! Wer sich fragt, wie modern die IT dort geführt wird, muss sich nur den Internetauftritt anschauen: http://roko.at.
    Gruß von der Front,
    Tobias

  8. Frank Fischer sagt:

    Guten Morgen,
    wenn man ein NoSpamProxy Gateway vor dem Exchange hat,
    gibt es eine Möglichkeit diese Links abzuwenden.

    Damit wurden schon div. solcher Mails unterbunden.

    https://www.nospamproxy.de/de/malware-von-kompromittierten-exchange-servern-wie-sie-sich-schutzen-konnen/

    Wäre vielleicht eine Erwähnung im Blog Wert.

    Grüße
    Frank

  9. Anonymous sagt:

    Danke für diesen Blogeintrag!
    Wir hatten vor einer Woche eine Mail mit solchen *) und **) Merkmalen erhalten. Wurde als Spam abgetan und gelöscht.
    Jetzt wo ich weiß das der Absender wahrscheinlich infiziert ist werde ich ihn drauf hinweisen

Schreibe einen Kommentar zu Largot Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.