Microsoft Exchange-Server-Hack: Beispiellose Angriffswelle auf ungepatchte Server

Microsoft schloss zum 3. März 2021 mit einem außerplanmäßigen Sicherheitsupdate vier Schwachstellen in den Microsoft Exchange-Server-Versionen 2010 bis 2019. Zunächst stellte Microsoft die Bedrohung als relativ gering dar. Mittlerweile läuft eine beispiellose Angriffswelle auf ungepatchte Exchange-Instanzen.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat die Alarmstufe Rot ausgerufen.

Anzeige

„Das BSI vergibt nicht leichtfertig ein „Rot“ – in diesem Fall war es leider angebracht: Die Schwachstellen in Microsoft Exchange Server werden aktiv ausgenutzt und es besteht höchster Handlungsbedarf. Denn die Schwachstellen sind nicht nur immens weit verbreitet, sondern sie sind auch noch verhältnismäßig leicht auszunutzen. Ransomware, das Sammeln von Informationen oder der Missbrauch von Daten: All dem ist aktuell Tür und Tor geöffnet, denn noch immer sind Tausende von Server ungepatcht“, warnt auch Patrycja Schrenk, Geschäftsführerin der PSW GROUP.

Sie ruft zum raschen Handeln auf: „Unternehmen, Behörden und Institutionen müssen jetzt nicht nur patchen, sondern auch nach Anzeichen für einen Einbruch Ausschau halten. Die für den Hack mutmaßlich verantwortliche Hafnium-Gruppe hat erreichbare Exchange-Server mit einer Backdoor versehen. Es gilt, diese aufzuspüren und unschädlich zu machen. Außerdem stellt sich die Frage, inwieweit die Exchange-Lücke eine meldepflichtige Datenschutzverletzung darstellt“, so Patrycja Schrenk.

Zehntausende Unternehmen betroffen

Mit Exchange-Server bietet Microsoft einen Dienst an, mit dem in Netzwerken die E-Mail-Kommunikation gesteuert, die elektronische Kommunikation aber auch auf schädliche Dateien wie Viren geprüft werden kann. Sämtliche eingehenden und ausgehenden E-Mails landen beim entsprechenden Exchange-Server; von dort aus werden sie an die Empfänger verteilt. Wenngleich es Alternativen gibt, setzen weltweit zahlreiche staatliche und privatwirtschaftliche Institutionen auf Microsoft Exchange-Server. Damit sind aber auch Zehntausende von Unternehmen, Behörden, sogar Banken oder Forschungseinrichtungen von der Sicherheitslücke betroffen: Ihre E-Mails können mitgelesen werden, schlimmstenfalls lassen sich sogar Rechner fernsteuern. Laut Wall Street Journal könnten es mehr als 250.000 Opfer weltweit sein. Die Schätzungen der betroffenen Unternehmen in Deutschland liegen zwischen 60.000 bis hin zu mehreren 100.000. Tatsächlich ausgenommen sind Nutzende der Microsoft-eigenen Cloud-Lösungen.

„Gerade in Deutschland wird vor allem deshalb auf Self-Hosting-Lösungen gesetzt, um die Datenhoheit zu behalten, Vorgaben der DSGVO einzuhalten und damit insgesamt die Sicherheit zu erhöhen. In diesem aktuellen Sicherheitsvorfall darf die Schuld deshalb weder auf die Cloud-müden deutschen Unternehmen noch auf die mutmaßlich verantwortliche Hafnium-Gruppe verteilt werden“, meint Patrycja Schrenk und sieht die Verantwortung bei Microsoft: „Microsoft hat sich nach Bekanntwerden der Lücke Anfang Januar nicht sehr darum bemüht, Updates so zu gestalten, dass sie zeitnah eingespielt werden können. Microsoft ließ sich viel zu lange Zeit, die Sicherheitslücke zu veröffentlichen und Patches bereitzustellen. Hinzu kam ein Problem beim Patchen: Nicht allen gelang es, die Schwachstelle wirklich zu schließen. Vielfach konnten die Patches nicht eingespielt werden, da dies mit älteren CUs nicht möglich war. Erst mit dem 09. März ermöglichte Microsoft Patches auch bei veralteten CU-Ständen.“, so die IT-Sicherheitsexpertin.

Zusammenfassung: Was ist überhaupt passiert?

Die Sicherheitsfirma Volexity beobachtete bereits am 06. Januar 2021 Angriffe über eine bis dato nicht veröffentlichte Exchange-Schwachstelle. Im Laufe der darauf folgenden Wochen gab es einzelne Angriffe auf ausgesuchte Exchange-Server. Microsoft plante die Veröffentlichung eines Sicherheits-Patches für den 9. März. Jedoch begann am 26. Februar die chinesische Hafnium-Hackergruppe mit Massenscans: Exchange-Server, die verwundbar waren, wurden automatisch mit einer Webshell infiziert. Mit dem 02. März veröffentlichte Microsoft Sicherheitsupdates – und nur wenige Stunden nach Veröffentlichung dieser außerplanmäßigen Updates und der inzwischen vier bekannten Schwachstellen – begann die beispiellose Infektion sämtlicher via Internet erreichbaren ungepatchten Exchange-Server. Das führte dazu, dass Administratoren kaum eine Möglichkeit hatten, zu reagieren.

Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.