Kryptojacking auf ungepatchten Microsoft Exchange-Servern

Cyber-Kriminelle zielen auf verwundbare, nicht gepatchte Microsoft Exchange Server mit Cryptocurrency-Mining-Malware  und wollen die Rechenleistung kompromittierter Systeme heimlich nutzen, um Geld zu verdienen.

Zero-Day-Schwachstellen in Microsoft Exchange Server wurden letzten Monat detailliert beschrieben, als Microsoft kritische Sicherheitsupdates veröffentlichte, um die Ausnutzung anfälliger Systeme zu verhindern. Aber noch immer sind zehntausende Exchange Server nicht gepatcht. Cyber-Angreifer, von staatlich gelenkten Hackergruppen bis hin zu Ransomware-Banden, haben sich beeilt, ungepatchte Exchange-Server anzugreifen – aber sie sind nicht die einzigen.

Cybersecurity-Forscher von Sophos haben Angreifer identifiziert, die versuchen, den Microsoft Exchange Server ProxyLogon Exploit auszunutzen, um heimlich einen Monero-Kryptominer auf Exchange-Servern zu installieren.

„Server-Hardware ist für Kryptojacking ziemlich begehrt, da sie in der Regel eine höhere Leistung als ein Desktop oder Laptop hat. Da die Schwachstelle es den Angreifern erlaubt, einfach das gesamte Internet nach verfügbaren, anfälligen Rechnern zu scannen und diese dann in das Netzwerk einzuschleusen, ist es im Grunde genommen kostenloses Geld, das für die Angreifer hereinkommt“, sagt Andrew Brandt, Principal Threat Researcher bei Sophos, gegenüber ZDNet.

Monero ist nicht annähernd so wertvoll wie Bitcoin, aber es ist einfacher zu schürfen und bietet, was für Cyberkriminelle entscheidend ist, eine größere Anonymität, wodurch der Besitzer der Wallet – und die Hintermänner der Angriffe – schwerer zu verfolgen sind.

Obwohl es sich nicht so schlimm anhört, von einem Kryptowährungs-Miner kompromittiert zu werden, wie ein Ransomware-Angriff oder der Verlust von sensiblen Daten, stellt es dennoch ein Problem für Unternehmen dar.

Denn es bedeutet, dass sich Cyber-Angreifer heimlich Zugang zum Netzwerk verschaffen konnten und, was besonders wichtig ist, dass die Organisation noch nicht die kritischen Updates installiert hat, die vor allen Arten von Angriffen schützen sollen.

Laut einer Analyse von Sophos begann die Monero-Wallet des Angreifers, der hinter dieser Kampagne steckt, bereits am 9. März, nur wenige Tage nach Bekanntwerden der Exchange-Schwachstellen, Geld aus dem Mining zu erhalten, was darauf hindeutet, dass der Angreifer die ungepatchten Server schnell ausnutzte.

Die Angriffe beginnen mit einem PowerShell-Befehl, der eine Datei aus dem Outlook Web Access-Anmeldepfad eines zuvor kompromittierten Servers abruft, die wiederum ausführbare Nutzdaten herunterlädt, um den Monero-Miner zu installieren.

Die Forscher merken an, dass die ausführbare Datei eine modifizierte Version eines Tools zu enthalten scheint, das auf Github öffentlich verfügbar ist; wenn der Inhalt auf einem kompromittierten Server ausgeführt wird, werden Beweise für die Installation gelöscht, während der Mining-Prozess im Speicher läuft.

Es ist unwahrscheinlich, dass die Betreiber von Servern, die von Krypto-Mining-Malware gekapert wurden, ein Problem bemerken – es sei denn, der Angreifer wird gierig und verwendet eine große Menge an Rechenleistung, die leicht als ungewöhnlich identifiziert werden kann.

Um Netzwerke vor Angriffen zu schützen, die die Schwachstellen in Microsoft Exchange Server ausnutzen, wird Unternehmen dringend empfohlen, die kritischen Sicherheitsupdates mit sofortiger Priorität zu installieren.

„Vieles spricht dafür, dass auf Servern, vor allem auf solchen mit Internetzugang, ein moderner Endpunktschutz installiert sein muss. Abgesehen davon hat Microsoft ziemlich klar dargelegt, was zum Patchen der Schwachstellen erforderlich ist, so dass Administratoren einfach sorgfältig sein und diese Dinge tun müssen“, erklärt Brandt.