Categories: SicherheitVirus

Exim-Wurm: Microsoft warnt vor Angriffen auf Azure-Instanzen

Microsoft warnt seine Azure-Kunden derzeit vor dem Exim-Wurm, der sich über den gleichnamigen Mailserver verbreitet. Demnach wurden bereits mehrere Azure-Installationen infiziert. Nach Angaben des Softwarekonzerns verfügt die Azure-Infrastruktur jedoch über „Kontrollen, die helfen, die Verbreitung dieses Wurms zu beschränken“.

In der vergangenen Woche identifizierten Sicherheitsforscher mindestens zwei Hackergruppen, die eine seit Anfang Juni bekannte Sicherheitslücke im Mailserver Exim ausnutzen, und aus der Ferne Schadcode in anfällige Server einschleusen. Die Malware lässt sich demnach mit den Rechten des Exim-Prozesses ausführen, der in den meisten Fällen über Root-Rechte verfügt.

Einer weiteren Analyse von Cybereason zufolge besitzt die Schadsoftware auch eine Wurm-Komponente. Sie erlaubt es einem infizierten Exim-Server, den Exploit an weitere ungepatchte Installationen zu verteilen, um schließlich einen Kryptominer einzurichten.

Azure schützt vor Verbreitung des Wurms, aber nicht vor Kryptominern

Microsoft weist darauf hin, dass Azure zwar die Funktion der Wurm-Komponente unterdrückt und somit eine weitere Verbreitung verhindert, alle anderen Komponenten der Malware seien jedoch aktiv. Auf Azure gehostete virtuelle Maschinen mit dem Mailserver sind also möglicherweise bereits kompromittiert und mit einem Kryptominer verseucht.

Darüber hinaus befürchtet Microsoft, dass Angreifer dieselbe Exim-Lücke nutzen könnten, um den betroffenen Azure-Instanzen andere Schadsoftware unterzuschieben. „Da diese Schwachstelle durch Wurmaktivitäten aktiv ausgenutzt wird, fordert das Microsoft Security Response Center die Kunden auf, die Best Practices und Vorlagen zur Azure-Sicherheit zu beachten und den Netzwerkzugriff auf VMs zu patchen oder einzuschränken, auf denen die betroffenen Versionen von Exim laufen“, sagte JR Aquino, Manager of Azure Incident Response bei Microsoft.

Microsoft drängt seine Kunden, die fehlerfreie Exim-Version 4.92 einzuspielen. Angreifbar sind demnach die Versionen 4.87 bis 4.91. Infizierte Azure-Systeme sollten nach Angaben des Unternehmens gelöscht und neu installiert oder aus einem Backup wiederhergestellt werden. Wie sich eine Infektion feststellen beziehungsweise ausschließen lässt, beschreibt Cybereason in einem Blogeintrag.

Whitepaper

SAP S/4HANA trifft ECM: Was Sie für eine erfolgreiche Migrationsstrategie beachten sollten

Ceyoniq beleutet in diesem Whitepaper anhand von sechs Thesen die wichtigsten Aspekte zum Thema und gibt Tipps für eine erfolgreiche Migrationsstrategie.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Black Friday: Vorsicht vor schädlichen QR-Codes

Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.

21 Stunden ago

Black Friday: Zahl der ominösen Shopping-Websites steigt

Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.

21 Stunden ago

SmokeBuster bekämpft SmokeLoader

Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.

1 Tag ago

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

2 Tagen ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

2 Tagen ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

2 Tagen ago