Microsoft warnt seine Azure-Kunden derzeit vor dem Exim-Wurm, der sich über den gleichnamigen Mailserver verbreitet. Demnach wurden bereits mehrere Azure-Installationen infiziert. Nach Angaben des Softwarekonzerns verfügt die Azure-Infrastruktur jedoch über „Kontrollen, die helfen, die Verbreitung dieses Wurms zu beschränken“.
In der vergangenen Woche identifizierten Sicherheitsforscher mindestens zwei Hackergruppen, die eine seit Anfang Juni bekannte Sicherheitslücke im Mailserver Exim ausnutzen, und aus der Ferne Schadcode in anfällige Server einschleusen. Die Malware lässt sich demnach mit den Rechten des Exim-Prozesses ausführen, der in den meisten Fällen über Root-Rechte verfügt.
Einer weiteren Analyse von Cybereason zufolge besitzt die Schadsoftware auch eine Wurm-Komponente. Sie erlaubt es einem infizierten Exim-Server, den Exploit an weitere ungepatchte Installationen zu verteilen, um schließlich einen Kryptominer einzurichten.
Azure schützt vor Verbreitung des Wurms, aber nicht vor Kryptominern
Microsoft weist darauf hin, dass Azure zwar die Funktion der Wurm-Komponente unterdrückt und somit eine weitere Verbreitung verhindert, alle anderen Komponenten der Malware seien jedoch aktiv. Auf Azure gehostete virtuelle Maschinen mit dem Mailserver sind also möglicherweise bereits kompromittiert und mit einem Kryptominer verseucht.
Darüber hinaus befürchtet Microsoft, dass Angreifer dieselbe Exim-Lücke nutzen könnten, um den betroffenen Azure-Instanzen andere Schadsoftware unterzuschieben. „Da diese Schwachstelle durch Wurmaktivitäten aktiv ausgenutzt wird, fordert das Microsoft Security Response Center die Kunden auf, die Best Practices und Vorlagen zur Azure-Sicherheit zu beachten und den Netzwerkzugriff auf VMs zu patchen oder einzuschränken, auf denen die betroffenen Versionen von Exim laufen“, sagte JR Aquino, Manager of Azure Incident Response bei Microsoft.
Microsoft drängt seine Kunden, die fehlerfreie Exim-Version 4.92 einzuspielen. Angreifbar sind demnach die Versionen 4.87 bis 4.91. Infizierte Azure-Systeme sollten nach Angaben des Unternehmens gelöscht und neu installiert oder aus einem Backup wiederhergestellt werden. Wie sich eine Infektion feststellen beziehungsweise ausschließen lässt, beschreibt Cybereason in einem Blogeintrag.
SAP S/4HANA trifft ECM: Was Sie für eine erfolgreiche Migrationsstrategie beachten sollten
Ceyoniq beleutet in diesem Whitepaper anhand von sechs Thesen die wichtigsten Aspekte zum Thema und gibt Tipps für eine erfolgreiche Migrationsstrategie.
Neueste Kommentare
Noch keine Kommentare zu Exim-Wurm: Microsoft warnt vor Angriffen auf Azure-Instanzen
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.