lordgurke
Goto Top

Vermehrt Phishing mit abgegriffenen E-Mails, möglicherweise Zusammenhang mit Exchange-Vulns

Moin,

wir beobachten auf unseren Spamfiltern seit 2-3 Tragen ein deutlich gestiegenes Volumen an Spam/Phishing, wo offenbar vor kurzem abgegriffene E-Mail-Inhalte benutzt werden, um die Mails seriöser wirken zu lassen.
Gemeinsam ist, dass die betroffenen Korrespondenten auf mindestens einer Seite einen Exchange-Server stehen haben. Hier gibt es möglicherweise einen Zusammenhang mit den zuletzt gemeldeten Sicherheitslücken CVE-2023-21529, CVE-2023-21706, CVE-2023-21707, CVE-2023-21710.

Alle derartigen E-Mails tragen keine gefälschten Absender sondern kommen von offenbar explizit dafür registrierten Domains, die auf den ersten Blick unverdächtig aussehen. Die E-Mails selbst enthalten keine Anhänge und nur einen kurzen unverdächtigen Text ohne Links. Dadurch sind sie wirklich schwer automatisiert zu filtern, bisher greifen unsere Filter über andere "Umstände", auf die ich nicht öffentlich im Detail eingehen will.

Sinn der E-Mails soll vermutlich sein, dass man eine Kommunikation in Gang bringt und in deren Verlauf dann Malware untergeschoben bekommt oder Geld irgendwohin schicken soll.
Der Grund warum das jetzt aktuell deutlich verstärkt auftritt liegt vermutlich darin, dass jetzt alle (jaja, ich weiß) Exchange-Server gegen diese Sicherheitslücke gepatched werden und die kopierten Mailinhalte nicht zu alt sein dürfen, um noch unverdächtig zu erscheinen.

In jedem Fall sollte man momentan besonders wachsam bei sowas sein, auch wenn man selbst keinen Exchange-Server betreibt, denn die E-Mail könnte am anderen Ende abegriffen worden sein.

Content-ID: 6466411711

Url: https://administrator.de/contentid/6466411711

Ausgedruckt am: 21.11.2024 um 19:11 Uhr

Coreknabe
Coreknabe 23.03.2023 um 09:10:57 Uhr
Goto Top
Moin,

kann ich bestätigen. Was uns dabei auffällt: In 99% der Fälle findet sich ein .html-Anhang. Deutlicher Hinweis darauf, dass .html / .htm - Anhänge mindestens erst einmal in der Quarantäne, nie aber direkt beim Empfänger landen sollten.

Ob das jetzt rein ein Exchange-Problem ist, weiß ich nicht, wir bekommen auch Mails mit GMX als Ursprung. Glaube eher nicht, dass da ein Exchange im Hintergrund werkelt?
Unseren Exchange haben wir regelmäßig auf den aktuellsten Stand gepatcht.

Gruß
ManuManu2021
ManuManu2021 23.03.2023 um 09:44:46 Uhr
Goto Top
Moin, kann ich nicht bestätigen, ist mir in den letzten Tagen noch nicht aufgefallen
anteNope
anteNope 23.03.2023 aktualisiert um 14:10:27 Uhr
Goto Top
Jup das habe ich die Tage auch öfters bemerkt. Da kommen Mails mit Texten die ich vor einem Jahr versendet habe ohne Anpassungen aber mit htmx Anhang.

Rückschlüsse darauf wer das Leck ist, habe ich noch nicht gefunden.
Coreknabe
Coreknabe 23.03.2023 um 14:37:33 Uhr
Goto Top
Moin,

in unserem Fall war bisher immer ein externer Mailserver beteiligt (einfach mal den Mailverlauf ansehen).
Wenn nur der eigene Mailserver auftaucht, sollte das ein Alarmsignal auslösen face-wink

Gruß
LordGurke
LordGurke 23.03.2023 um 15:28:52 Uhr
Goto Top
Zitat von @Coreknabe:
in unserem Fall war bisher immer ein externer Mailserver beteiligt (einfach mal den Mailverlauf ansehen).

Das ist aber kein Hinweis, wo der Mailinhalt abgegriffen wurde, ob bei euch oder den anderen.
Coreknabe
Coreknabe 23.03.2023 um 15:36:10 Uhr
Goto Top
Zitat von @LordGurke:

Zitat von @Coreknabe:
in unserem Fall war bisher immer ein externer Mailserver beteiligt (einfach mal den Mailverlauf ansehen).

Das ist aber kein Hinweis, wo der Mailinhalt abgegriffen wurde, ob bei euch oder den anderen.

Nicht zwingend, nein. Aber wenn ich sehe, dass von uns immer andere Postfächer betroffen sind und stets ein "Externer" beteiligt war, ist das schon ein deutlicher Hinweis.

Gruß
anteNope
anteNope 23.03.2023 um 15:54:19 Uhr
Goto Top
Zitat von @Coreknabe:
Wenn nur der eigene Mailserver auftaucht, sollte das ein Alarmsignal auslösen face-wink

Der Witz ist, im Quelltext und den Headern steht nix. Ist so als hätten die schlicht den Text in eine neue Mail kopiert 😆
Coreknabe
Coreknabe 23.03.2023 um 17:14:26 Uhr
Goto Top
Zitat von @anteNope:

Zitat von @Coreknabe:
Wenn nur der eigene Mailserver auftaucht, sollte das ein Alarmsignal auslösen face-wink

Der Witz ist, im Quelltext und den Headern steht nix. Ist so als hätten die schlicht den Text in eine neue Mail kopiert 😆

Haben die wahrscheinlich auch. Trotzdem taucht ja im Mailverlauf die ursprünglich verwendete Adresse auf.

Gruß