Heute trudelten von verschiedenen Unternehmen Antwort-E-Mails ein, die einen eindeutigen Spam-Inhalt hatten. In schlechtem Deutsch wurden Links zu Bitcoin-Plattformen o.ä. angeboten. Das anfängliche Staunen wich dem Ärger über das Versagen des Spam-Filters. Zu unrecht! Denn die Analyse zeigte, dass die E-Mail regulär von einem echten Absender über seinen Exchange-Server (kein 365) verschickt wurde. Einzig die IP-Adresse war ungewöhnlich, von der die Mail initiert wurde: So schien es, dass sich der Absender im Ausland befand.
Was also war passiert?
Die Analyse hat ergeben, dass hier eine Sicherheitslücke im Exchange-Server (2016 und 2019) ausgenutzt wurde. Durch diese war möglich, dass eine Antwort auf eine beliebige E-Mail initiiert und der E-Mail auch noch ein kleiner Text mitgegeben werden konnte. Hierzu wurde ein Aufruf über eine offene OWA-Schnittstelle an den Server geschickt.
Das sofortige Einspielen der aktuellen Sicherheitspatches und das Schließen des offenen OWA-Zugangs hat den Strom zum Erliegen gebracht.
E-Mail-Inhalte oder Empfängerdaten sind dabei nicht abgeflossen.
Zum Wiederholten Mal im diesem Jahr wurde damit der Exchange-Server Ziel von Angriffen. Microsoft selbst hat den CVE (Common Vulnerabilities and Exposures) noch nicht veröffentlicht.
Dieser Angriff zeigt, wie wichtig das regelmäßige Überwachen und vor Allem die Handhabung technischer Schwachstellen in einem Unternehmen ist.
[Update 10.11.2021]
Gestern wurde der CVE endlich publik gemacht.
Quellen dazu finden sich bei Microsoft oder bei Civis.net.
Bildquelle: https://pxhere.com/de/photo/1451251