Unbekannte Hacker nehmen vermehrt ungepatchte Microsoft Exchange-Server ins Visier. Ein Trick hat sich dabei breit gemacht, der für viele Nutzer zunächst nicht so einfach zu durchschauen ist: Die Hacker nutzen bestehende E-Mail-Konversation und täuschen so Legitimität vor. Das geht aus einem neuen Bericht der Sicherheitsforscher von Intezer hervor (via Bleeping Computer).
So scheint laut einigen Berichten und eigenen Beobachtungen in unserem Umfeld seit März 2022 eine Angriffskampagne stattzufinden, welche sich eines einfachen und zugleich fiesen Tricks bedient.
Conversation-Hijacking-Angriff
Um neue Opfersysteme zu finden, welche mit Schadsoftware kompromittiert werden sollen, nutzen die Angreifer das sog. Conversation-Hijacking.
Dabei erwecken die Hacker bei ihren Opfern den Eindruck, sie erhielten eine E-Mail von einem bekannten Absender. Gegenüber den herkömmlichen Fake-Absender-Attacken werden dabei aber tatsächliche Mailverläufe genutzt. In diesen Antwortketten wird dann zum Beispiel ein Link mit dem Download eines angeblichen Word-Dokuments oder ein Downloadlink für eine beliebige Datei geteilt, in dem eine Malware enthalten ist.
Wenn die Zielperson eine Antwortnachricht mit einem Anhang erhält, der so benannt ist, als sei er für die vorangegangene Diskussion relevant, ist die Wahrscheinlichkeit, dass sie einen Betrug vermutet, auf ein Minimum reduziert.
Wie kommen die Angreifer an die Mailkonversation?
Damit die Angreifer auf eine bestehende Mailkonversation Zugriff haben, muss an einer Stelle der Konversation eine „undichte Stelle“ existieren. Hier spielen nun die „Sicherheitskatastrophen“ beim Microsoft Exchange Server (Proxyshell, Hafnium) aus dem Jahr 2021 und die Nachlässigkeit zahlreicher Admins und IT Betreuer den Angreifern in die Karten, indem Sie immer noch ungesicherte Systeme online verfügbar haben.
Sind diese Systeme kompromittiert, so können hier die Angreifer den Mailverkehr auslesen, umleiten, modifizieren und fast alle denkbaren Dinge damit anstellen.
Unterm Strich besteht hier also die Gefahr für Sie, von einem bekannten Absender in einer bestehenden Konversation Schadsoftware zu erhalten, auch wenn in Ihrem Netzwerk kein unsicher Mailserver existiert.
Wie kann man sich schützen?
Alle Unternehmen mit internen Exchange-Servern müssen diese nach dem aktuellen Stand absichern und Patches (SUs, CUs) zeitnah einspielen. Weitere Sicherheitsmaßnahmen wie gute Firewalls, Absicherung in einer DMZ etc. sind immer eine sinnvolle Idee.
Natürlich gelten die üblichen Sicherheitsempfehlungen wie Mailgateways, Antivirensoftware und Backups als Grundschutz.
Eine Absicherung der Kommunikation mit Zertifikaten kann ein hohes Maß an Sicherheit gewährleisten, wenn diese richtig angewendet werden.
Zusätzlich sollte man in diesen Zeiten, noch skeptischer als sonst mit Links in Mails umgehen. Sie können nie sicher sein, dass Ihr Geschäftspartner mit einer vollständig abgesicherten IT-Umgebung arbeitet und die Antwort auch wirklich aus der Quelle stammt welche Sie vermuten (gerade ohne technische Signaturen mit Zertifikaten).
In der Not hilft ein altes Hausmittel: Anrufen und fragen ob der Link wirklich vom Absender kommt.
Bei Ihren Fragen zur IT-Sicherheit, Exchange-Absicherung, Mailverschlüsselung und Datenschutz kommen Sie auf uns zu.
