Eine kürzlich durchgeführte Cyberkampagne hat über 70 Microsoft Exchange-Server in 26 Ländern kompromittiert, indem JavaScript-basierte Keylogger in die Anmeldeseiten von Outlook Web Access (OWA) eingeschleust wurden. Lesen Sie die Einzelheiten dieser Cybersecurity-Bedrohungswarnung, um sich gegen diese Schwachstellen zu schützen.
Welcher Art ist die Bedrohung?
Diese Kampagne, die seit mindestens 2021 aktiv ist, zielt auf Microsoft Exchange-Server mit aktiviertem OWA ab. Hacker injizieren bösartige JavaScript-basierte Keylogger in die OWA-Anmeldeseiten, um Benutzernamen und Passwörter zu erfassen, wenn sich Nutzer anmelden. Die gestohlenen Zugangsdaten werden entweder lokal auf dem Server gespeichert oder über DNS-Tunnel oder Telegram-Bots exfiltriert. Die Kampagne richtet sich hauptsächlich an Regierungsbehörden, IT-Firmen und Industriezweige, indem sie ungepatchte Exchange-Schwachstellen ausnutzt. Die Tarnung und die geringe Entdeckungsrate machen sofortige Patches, Skriptüberprüfungen und die Überwachung des Datenverkehrs entscheidend für die Verteidigung.
Warum ist dies bemerkenswert?
Der bösartige JavaScript-Code ist darauf ausgelegt, Daten aus Authentifizierungsformularen zu lesen und zu verarbeiten, um diese Informationen anschließend über eine XHR-Anfrage an eine bestimmte Seite auf einem kompromittierten Exchange Server zu senden. Der Quellcode der Zielseite enthält eine Handler-Funktion, die die eingehende Anfrage erfasst und die Daten in einer Datei auf dem Server speichert.
Die Angriffskette beginnt mit der Ausnutzung bekannter Schwachstellen im Microsoft Exchange Server, wie ProxyShell, um Keylogger-Code in die Anmeldeseite einzuschleusen. Die Identität der für die Bedrohung verantwortlichen Akteure ist derzeit unbekannt. Nachfolgend sind einige der ausgenutzten Schwachstellen aufgeführt:
- CVE-2014-4078 — Sicherheitslücke zur Umgehung der IIS-Sicherheitsfunktion
- CVE-2020-0796 — Schwachstelle in Windows SMBv3 Client/Server, Remotecodeausführung.
- CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 und CVE-2021-27065 – Microsoft Exchange Server Schwachstelle bei der Remotecodeausführung (ProxyLogon).
- CVE-2021-31206 – Schwachstelle bei der Remotecodeausführung im Microsoft Exchange Server.
- CVE-2021-31207, CVE-2021-34473 und CVE-2021-34523 – Microsoft Exchange Server Security-Schwachstelle zur Umgehung von Sicherheitsfunktionen (ProxyShell).
Wie hoch ist die Gefährdung oder das Risiko?
Auf diese Datei, die die gestohlenen Daten enthält, kann von einem externen Netzwerk aus zugegriffen werden. Es wurden auch Varianten mit lokalen Keylogging-Funktionen entdeckt, die Nutzer-Cookies, User-Agent-Strings und Zeitstempel erfassen. Ein wesentlicher Vorteil dieser Methode ist das minimale Risiko der Entdeckung. Es gibt keinen ausgehenden Datenverkehr bei der Übertragung der Informationen.
Bisher wurden mindestens 22 kompromittierte Server in Regierungsbehörden identifiziert. Weitere betroffene Sektoren umfassen IT, Logistik und Industrie. Die am stärksten ins Visier genommenen Länder sind Vietnam, Russland, Taiwan, China, Pakistan, Libanon, Australien, Sambia, die Niederlande und die Türkei.
Welche Empfehlungen haben Sie?
Barracuda empfiehlt die folgenden Maßnahmen, um Ihre Umgebung vor dieser Bedrohung zu schützen:
- Wenden Sie die neuesten Security Patches auf allen Microsoft Exchange-Servern an. Überprüfen Sie regelmäßig auf Updates und wenden Sie diese umgehend an, um bekannte Schwachstellen zu mindern.
- Beschränken Sie den Zugriff auf Exchange-Server auf diejenigen, die ihn unbedingt benötigen. Verwenden Sie rollenbasierte Zugriffskontrollen (RBAC), um das Prinzip der minimalen Berechtigung durchzusetzen.
- Implementieren Sie eine erweiterte Bedrohungserkennung und -reaktion, wie z. B. Barracuda Managed XDR Endpoint Security, um Endpunkte auf verdächtige Aktivitäten zu überwachen, einschließlich der Erkennung und Blockierung bösartiger Skripte, der Installation nicht autorisierter Software wie Keylogger und der Erkennung ungewöhnlicher Anmeldeversuche oder Zugriffsmuster, die auf ein kompromittiertes Konto oder einen kompromittierten Server hinweisen könnten.
- Setzen Sie die Multi-Faktor-Authentifizierung (MFA) für alle Nutzer, die auf den Exchange-Server zugreifen, durch, um eine zusätzliche Sicherheitsebene über Passwörter hinaus hinzuzufügen.
Wie kann Barracuda Sie vor dieser Bedrohung schützen?
Barracuda hat kürzlich seinen Managed Vulnerability Security-Service eingeführt, eine vollständig verwaltete Lösung, die proaktiv Schwachstellen in Servern, Endpunkten, Netzwerkgeräten und Cloud-Infrastrukturen erkennt und priorisiert. Angesichts von Bedrohungen wie der OWA-JavaScript-Keylogger-Kampagne hilft dieser Dienst, nicht gepatchte Exchange-Server und Fehlkonfigurationen zu identifizieren, bevor Angreifer diese ausnutzen können. In Kombination mit den Echtzeit-Bedrohungserkennungs- und Incident Response-Funktionen von Barracuda Managed XDR ermöglicht es eine Verteidigungsstrategie in der Tiefe, Sicherheitslücken zu schließen und gleichzeitig verdächtige Anmeldeereignisse oder laterale Bewegungen zu identifizieren. Dieser einheitliche Ansatz – Schwachstellenscans gepaart mit der Erkennungs-Engine von XDR – hilft Unternehmen, Advanced Threats immer einen Schritt voraus zu sein, die Anbieterkomplexität zu reduzieren und ihren allgemeinen Security-Status zu stärken.
Referenzen
Weitere Informationen finden Sie unter den folgenden Links:
- https://thehackernews.com/2025/06/hackers-target-65-microsoft-exchange.html
- https://securityaffairs.com/163521/breaking-news/microsoft-exchange-server-flaws-attacks.html
- https://www.barracuda.com/company/news/2025/barracuda-launches-managed-vulnerability-security
Wenn Sie Fragen zu diesem Cybersecurity-Bedrohungshinweis haben, wenden Sie sich bitte an das Security Operations Center von Barracuda Managed XDR.
Hinweis: Dieser Blog-Beitrag wurde ursprünglich auf SmarterMSP.com veröffentlicht.
Abonnieren Sie den Barracuda-Blog.
Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.
