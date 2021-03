Nach Hafnium kommen die Miner: Angreifer nutzen die Schwachstellen in Exchange-Servern aktuell auch, um Kryptomining-Schadsoftware zu installieren, warnt das Computer-Notfallteam (CERT Bund) des Bundesamts für Sicherheit in der Informationstechnik (BSI). In Deutschland sei die Schadsoftware DLTMiner "auf mindestens 600 Exchange-Servern" gefunden worden. Dabei handele es sich sowohl um immer noch verwundbare Installationen als auch gepatchte Server, die vor dem Softwareupdate befallen wurden.

Laut CERT Bund sind noch etwa 12.000 von 56.000 Exchange-Servern in Deutschland verwundbar. Das BSI mahnt daher dringend, das eventuell noch ungepatchte Systeme sofort aktualisiert werden sollten. Darüber hinaus wird Administratoren dringend geraten, auch gepatchte Server genau auf einen möglichen Befall zu untersuchen.

Exploits in freier Natur

Bereits im Dezember hatten taiwanische Sicherheitsexperten eine bisher unbekannte Schwachstelle im Exchange-Server gefunden und anschließend einen Exploit nachgewiesen, durch den Angreifer die Authentifizierung umgehen und sich als Administrator Zugang zum Server verschaffen konnten.

Die Lücken wurden zu diesem Zeitpunkt offenbar bereits aktiv ausgenutzt. Nach der Ankündigung eines Patches durch Microsoft hatten die Angreifer Ende Februar einen Großangriff auf die offenen Zero-Day-Lücken gestartet und auf den geknackten Systemen Hintertüren installiert. Das BSI hatte die Bedrohungslage "Rot" ausgerufen.

Microsoft und Sicherheitsexperten sehen die chinesische Gruppe "Hafnium" hinter den Angriffen. Allerdings sind schnell auch andere Gruppierungen auf den Zug aufgesprungen. Neben Cyberspionage werden die Lücken inzwischen auch ausgenutzt, um Ransomware zu installieren. Darüber hinaus hatten die Sicherheitsexperten von ESET erstmals auch Spuren des Krypto-Miners DLTMiner gefunden.

