Categories: SicherheitVirus

Exim-Wurm: Microsoft warnt vor Angriffen auf Azure-Instanzen

Microsoft warnt seine Azure-Kunden derzeit vor dem Exim-Wurm, der sich über den gleichnamigen Mailserver verbreitet. Demnach wurden bereits mehrere Azure-Installationen infiziert. Nach Angaben des Softwarekonzerns verfügt die Azure-Infrastruktur jedoch über „Kontrollen, die helfen, die Verbreitung dieses Wurms zu beschränken“.

In der vergangenen Woche identifizierten Sicherheitsforscher mindestens zwei Hackergruppen, die eine seit Anfang Juni bekannte Sicherheitslücke im Mailserver Exim ausnutzen, und aus der Ferne Schadcode in anfällige Server einschleusen. Die Malware lässt sich demnach mit den Rechten des Exim-Prozesses ausführen, der in den meisten Fällen über Root-Rechte verfügt.

Einer weiteren Analyse von Cybereason zufolge besitzt die Schadsoftware auch eine Wurm-Komponente. Sie erlaubt es einem infizierten Exim-Server, den Exploit an weitere ungepatchte Installationen zu verteilen, um schließlich einen Kryptominer einzurichten.

Azure schützt vor Verbreitung des Wurms, aber nicht vor Kryptominern

Microsoft weist darauf hin, dass Azure zwar die Funktion der Wurm-Komponente unterdrückt und somit eine weitere Verbreitung verhindert, alle anderen Komponenten der Malware seien jedoch aktiv. Auf Azure gehostete virtuelle Maschinen mit dem Mailserver sind also möglicherweise bereits kompromittiert und mit einem Kryptominer verseucht.

Darüber hinaus befürchtet Microsoft, dass Angreifer dieselbe Exim-Lücke nutzen könnten, um den betroffenen Azure-Instanzen andere Schadsoftware unterzuschieben. „Da diese Schwachstelle durch Wurmaktivitäten aktiv ausgenutzt wird, fordert das Microsoft Security Response Center die Kunden auf, die Best Practices und Vorlagen zur Azure-Sicherheit zu beachten und den Netzwerkzugriff auf VMs zu patchen oder einzuschränken, auf denen die betroffenen Versionen von Exim laufen“, sagte JR Aquino, Manager of Azure Incident Response bei Microsoft.

Microsoft drängt seine Kunden, die fehlerfreie Exim-Version 4.92 einzuspielen. Angreifbar sind demnach die Versionen 4.87 bis 4.91. Infizierte Azure-Systeme sollten nach Angaben des Unternehmens gelöscht und neu installiert oder aus einem Backup wiederhergestellt werden. Wie sich eine Infektion feststellen beziehungsweise ausschließen lässt, beschreibt Cybereason in einem Blogeintrag.

Whitepaper

SAP S/4HANA trifft ECM: Was Sie für eine erfolgreiche Migrationsstrategie beachten sollten

Ceyoniq beleutet in diesem Whitepaper anhand von sechs Thesen die wichtigsten Aspekte zum Thema und gibt Tipps für eine erfolgreiche Migrationsstrategie.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Google-Forscher entdeckt schwerwiegende Sicherheitslücke in Mozillas NSS-Bibliothek

Ein Angreifer kann Speicherbereiche mit eigenem Code überschreiben. Der Mozilla-Browser Firefox ist aber nicht betroffen.

7 Stunden ago

Forscher warnen vor unsicheren Cloud-Computing-Diensten

Sie richten 320 Honeypots mit unsicher konfigurieren Diensten sowie schwachen Zugangskennwörtern ein. Bereits nach 24…

7 Stunden ago

Online-Handel unter Bot-Beschuss

Unter dem Motto „Es ist ein Bot entsprungen“ machen Hacker dem Online-Handel dieses Weihnachten erneut…

8 Stunden ago

Mit Neo zu Cloud-Native-Ufern

OutSystems fokussiert sich auf Lösungen für die Low-Code-Programmierung. Dieses Verfahren zur Softwareerstellung ohne tiefgehende Programmierkenntnisse…

8 Stunden ago

Netzwerktransformation mit NaaS

Viele Netzwerk-Admins achten in erster Linie auf die Konnektivität. Netzwerk as a Service (NaaS) kann…

12 Stunden ago

ONLYOFFICE: Partnerprogramm bietet zahlreiche Vorteile für neue Reseller

Wer seinen Kunden im Rahmen seiner Softwarelösung, IT-Services oder einfach nur als Reseller die Open-Source-Kollaborationsplattform…

13 Stunden ago