Schädliche IIS-Module

"SessionManager" infiltriert Microsoft Exchange

Mithilfe einer neuen Malware greifen Hacker anfällige Exchange-Konten an. Lesen Sie, wie Sie einen Angriff identifizieren und abwehren können.
Von 
CSO | 04. Juli 2022 16:19 Uhr
Seit März 2021 sind Sicherheitslücken im Microsoft-Exchange-Server bekannt. Patches werden jedoch nur zögerlich eingespielt.
Seit März 2021 sind Sicherheitslücken im Microsoft-Exchange-Server bekannt. Patches werden jedoch nur zögerlich eingespielt.
Foto: monticello - shutterstock.com

Vermutlich um Cyberspionage zu betreiben, greifen unbekannte Hacker seit Anfang 2021 gezielt Microsoft-Exchange-Server von Regierungs- und Militäreinrichtungen, aber auch von nicht-staatlichen Organisationen an. Dies fanden Sicherheitsforscher von Kaspersky heraus, als sie eine neue Malware namens "SessionManager" untersuchten, mit der sich Cyberkriminelle Zugriff auf fremde IT-Infrastrukturen verschaffen. Möglich sei dies, da viele der Schwachstellen in Exchange-Servern, die im vergangenen Jahr bekannt geworden sind, noch nicht abgesichert wurden.

Heimliche Cyberattacken

SessionManager gibt sich als Modul für Internet Information Services (IIS) aus, einem Webserver von Microsoft der standardmäßig installiert ist. Die bösartigen IIS-Module reagieren auf speziell entwickelte HTTP-Anfragen, die legitim erscheinen und von den Servern wie jede andere Anfrage verarbeitet werden. Laut Kaspersky-Forscher Pierre Delcher sind diese Module deshalb mithilfe üblicher Überwachungsmethoden nicht einfach zu erkennen. Durch die Malware erlangen Hacker viel Kontrolle im Netzwerk, vom Sammeln von Passwörtern bis hin zur Ausführung gefährlichen Codes.

Hintertür für Cyberspionage

Seit März 2021 haben die Analysten bereits 34 Server in 24 Organisationen entdeckt, die mit SessionManager infiziert sind. 20 davon seien nach wie vor betroffen. Die Malware wurde gegen Regierungen, Militär- und Industrieorganisationen sowie Unternehmen in Afrika, Südamerika, Asien, Europa, Russland und dem Nahen Osten eingesetzt. Kaspersky vermutet, dass die Hackergruppe Gelsemium, die seit mindestens 2014 aktiv ist, hinter den Angriffen steckt.

Bösartige IIS-Module entfernen

Laut Kaspersky können Sie alle geladenen IIS-Module mithilfe der IIS-Manager-GUI oder über die Befehlszeile "IIS appcmd" auflisten. Sollten Sie ein schädliches Modul identifizieren, reicht es den Experten zufolge jedoch nicht aus, dieses lediglich zu löschen. Stattdessen sollten Unternehmen folgende Schritte befolgen, um gegen bösartige IIS-Module vorzugehen:

  • Erstellen Sie einen Snapshot des Systems, auf dem das IIS-Modul ausgeführt wird.

  • Stoppen Sie den IIS-Server und trennen Sie das zugrunde liegende System von öffentlich erreichbaren Netzwerken.

  • Sichern Sie alle Dateien und Protokolle aus Ihrer IIS-Umgebung, um Daten für die weitere Reaktion auf Vorfälle vorhalten zu können. Überprüfen Sie, ob die Backups erfolgreich geöffnet oder extrahiert werden können.

  • Entfernen Sie mit dem IIS-Manager oder dem Befehlstool "appcmd" alle Verweise auf das identifizierte Modul aus Apps und Serverkonfigurationen. Überprüfen Sie die zugehörigen IIS-XML-Konfigurationsdateien manuell, um sicherzustellen, dass alle Verweise entfernt wurden.

  • Aktualisieren Sie den IIS-Server und das zugrunde liegende Betriebssystem, um sicherzustellen, dass keine bekannten Schwachstellen offen bleiben.

  • Starten Sie den IIS-Server neu und bringen Sie das System wieder online.

Kaspersky empfiehlt zudem die Hilfe eines Incident-Response-Teams heranzuziehen sowie die bösartigen Module zu analysieren, um auf weitere Vorfälle besser reagieren zu können.

Melanie Staudacher ist Editor bei CSO. Ihr Schwerpunkt ist IT-Security.