Exim-Wurm: Microsoft warnt vor Angriffen auf Azure-Instanzen

Azure unterdrückt die Wurm-Funktion der Malware und verhindert dessen weitere Verbreitung. Alle anderen Funktionen der Schadsoftware sind jedoch aktiv, inklusive des enthaltenen Kryptominers. Angreifbar sind Installationen des Exim-Mailservers in den Versionen 4.87 bis 4.91.

Microsoft warnt seine Azure-Kunden derzeit vor dem Exim-Wurm, der sich über den gleichnamigen Mailserver verbreitet. Demnach wurden bereits mehrere Azure-Installationen infiziert. Nach Angaben des Softwarekonzerns verfügt die Azure-Infrastruktur jedoch über „Kontrollen, die helfen, die Verbreitung dieses Wurms zu beschränken“.

Malware (Bild: Shutterstock/Blue Island)In der vergangenen Woche identifizierten Sicherheitsforscher mindestens zwei Hackergruppen, die eine seit Anfang Juni bekannte Sicherheitslücke im Mailserver Exim ausnutzen, und aus der Ferne Schadcode in anfällige Server einschleusen. Die Malware lässt sich demnach mit den Rechten des Exim-Prozesses ausführen, der in den meisten Fällen über Root-Rechte verfügt.

Einer weiteren Analyse von Cybereason zufolge besitzt die Schadsoftware auch eine Wurm-Komponente. Sie erlaubt es einem infizierten Exim-Server, den Exploit an weitere ungepatchte Installationen zu verteilen, um schließlich einen Kryptominer einzurichten.

Azure schützt vor Verbreitung des Wurms, aber nicht vor Kryptominern

Microsoft weist darauf hin, dass Azure zwar die Funktion der Wurm-Komponente unterdrückt und somit eine weitere Verbreitung verhindert, alle anderen Komponenten der Malware seien jedoch aktiv. Auf Azure gehostete virtuelle Maschinen mit dem Mailserver sind also möglicherweise bereits kompromittiert und mit einem Kryptominer verseucht.

Darüber hinaus befürchtet Microsoft, dass Angreifer dieselbe Exim-Lücke nutzen könnten, um den betroffenen Azure-Instanzen andere Schadsoftware unterzuschieben. „Da diese Schwachstelle durch Wurmaktivitäten aktiv ausgenutzt wird, fordert das Microsoft Security Response Center die Kunden auf, die Best Practices und Vorlagen zur Azure-Sicherheit zu beachten und den Netzwerkzugriff auf VMs zu patchen oder einzuschränken, auf denen die betroffenen Versionen von Exim laufen“, sagte JR Aquino, Manager of Azure Incident Response bei Microsoft.

Microsoft drängt seine Kunden, die fehlerfreie Exim-Version 4.92 einzuspielen. Angreifbar sind demnach die Versionen 4.87 bis 4.91. Infizierte Azure-Systeme sollten nach Angaben des Unternehmens gelöscht und neu installiert oder aus einem Backup wiederhergestellt werden. Wie sich eine Infektion feststellen beziehungsweise ausschließen lässt, beschreibt Cybereason in einem Blogeintrag.

Whitepaper

SAP S/4HANA trifft ECM: Was Sie für eine erfolgreiche Migrationsstrategie beachten sollten

Ceyoniq beleutet in diesem Whitepaper anhand von sechs Thesen die wichtigsten Aspekte zum Thema und gibt Tipps für eine erfolgreiche Migrationsstrategie.

Themenseiten: E-Mail, Malware, Microsoft, Microsoft Azure, Security, Sicherheit

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Exim-Wurm: Microsoft warnt vor Angriffen auf Azure-Instanzen

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *