Hacker treten massive Angriffswelle gegen Exim-E-Mail-Server los

Mehrere Hackergruppen nehmen seit einigen Tagen E-Mail-Server ins Visier, die auf dem Mailserver Exim basieren. Sie versuchen, eine kürzlich bekannt gewordene Sicherheitslücke auszunutzen, um die Kontrolle über ungepatchte Server zu übernehmen. Bisher wurden mindestens zwei Gruppen identifiziert, die hinter der massiven Angriffswelle stecken.

Die fragliche Anfälligkeit mit der Kennung CVE-2019-10149 ist seit 5. Juni bekannt. Sie wird als „Return of the WIZard“ bezeichnet und erlaubt es Angreifern, aus der Ferne schädliche Nachrichten an anfällige Exim-Server zu verschicken, die wiederum Schadcode einschleusen und mit den Rechten des Exim-Prozesses ausführen – in den meisten Fällen sind dies Root-Rechte.

Die erste Welle startete dem Sicherheitsforscher Freddie Leeman zufolge bereits am 9. Juni. In den darauffolgenden Tagen habe die Gruppe ihren Angriff verfeinert und sowohl die Skripte als auch die eingeschleuste Malware verändert. Leeman geht davon aus, dass diese Gruppe bisher noch kein endgültiges Ziel für ihre Angriffe festgelegt hat.

Die zweite Gruppe soll seit 10. Juni aktiv sein und laut Magni Sigurdsson, Sicherheitsforscher bei Cyren, versuchen, eine Hintertür auf anfälligen Exim-Servern anzulegen. Dafür sollen die Hintermänner eine E-Mail an die Server schicken, die sie dazu bringt, ein Shell-Skript herunterzuladen und auszuführen. Das wiederum öffnet einen SSH-Zugang auf dem Server, und zwar mithilfe eines zuvor per Skript zum Root-Konto hinzugefügten SSH-Schlüssels.

„Das Skript selbst wird im Tor-Netzwerk gehostet“, erklärte Sigurdsson. „Sie gehen gegen Red Hat Enterprise Linux, Debian, OpenSuse und Alpine Linux vor.“

Die zweite Welle wurde auch vom Sicherheitsanbieter Cybereason entdeckt und analysiert. Demnach ist diese Gruppe weiterhin aktiv. Sie soll zudem ihre Aktivitäten ausgeweitet und somit auch in den Honeypots anderer Sicherheitsanbieter gelandet sein. Die Hintermänner setzen Cybereason zufolge inzwischen sogar eine Wurm-Komponente ein, um den Exim-Exploit an weitere Server zu verteilen. Auf kompromittierten Servern fanden die Sicherheitsforscher zudem Kryptominer.

Betreiber von Exim-Servern können sich vor den Angriffen schützen. Sie müssen lediglich ihre Installation auf die aktuellen Version 4.92 aktualisieren.

Whitepaper

Studie zu Filesharing im Unternehmen: Kollaboration im sicheren und skalierbaren Umfeld

Im Rahmen der von techconsult im Auftrag von ownCloud und IBM durchgeführten Studie wurde das Filesharing in deutschen Unternehmen ab 500 Mitarbeitern im Kontext organisatorischer, technischer und sicherheitsrelevanter Aspekte untersucht, um gegenwärtige Zustände, Bedürfnisse und Optimierungspotentiale aufzuzeigen. Jetzt herunterladen!

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

NetWalker: Ransomware-Gang erlöst seit März rund 25 Millionen Dollar

McAfee verfolgt die Aktivitäten von Bitcoin-Adressen, die zu NetWalker gehören. Die Ransomware ist erst seit…

54 Minuten ago

Firefox 81: Mozilla integriert neue PDF-Funktionen in seinen Browser

Der integrierte PDF-Reader unterstützt künftig das Ausfüllen von Formularen. Die Entwickler überarbeiten auch die Oberfläche…

3 Stunden ago

Siri-Patente: Chinesisches Unternehmen fordert von Apple 1,4 Milliarden Dollar Schadensersatz

Es geht um ein 2009 gewährtes Schutzrecht. Apple scheitert mit dem Versuch, das Patent für…

4 Stunden ago

Google-Statistik: In Microsoft-Produkten stecken die meisten Zero-Day-Lücken

Das gilt zumindest für das Jahr 2019. Google räumt aber ein, dass es für Windows…

19 Stunden ago

Microsoft stellt Support für mobile Cortana-Apps ein

Nutzer bleibt künftig nur die Cortana-Integration in Outlook Mobile. Microsoft empfiehlt als Alternative die Cortana-App…

21 Stunden ago

Google stellt Chrome-Erweiterung für transparentere Online-Anzeigen vor

Die Ads Transparency Spotlight genannte Erweiterung liefert Daten zu Werbeplattformen, Anzeigen und weiteren an einer…

23 Stunden ago