Anzeige

Hacked

Microsoft schloss zum 3. März 2021 mit einem außerplanmäßigen Sicherheitsupdate vier Schwachstellen in den Microsoft Exchange-Server-Versionen 2010 bis 2019. Zunächst stellte Microsoft die Bedrohung als relativ gering dar. Mittlerweile läuft eine beispiellose Angriffswelle auf ungepatchte Exchange-Instanzen.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat die Alarmstufe Rot ausgerufen.

„Das BSI vergibt nicht leichtfertig ein „Rot“ – in diesem Fall war es leider angebracht: Die Schwachstellen in Microsoft Exchange Server werden aktiv ausgenutzt und es besteht höchster Handlungsbedarf. Denn die Schwachstellen sind nicht nur immens weit verbreitet, sondern sie sind auch noch verhältnismäßig leicht auszunutzen. Ransomware, das Sammeln von Informationen oder der Missbrauch von Daten: All dem ist aktuell Tür und Tor geöffnet, denn noch immer sind Tausende von Server ungepatcht“, warnt auch Patrycja Schrenk, Geschäftsführerin der PSW GROUP.

Sie ruft zum raschen Handeln auf: „Unternehmen, Behörden und Institutionen müssen jetzt nicht nur patchen, sondern auch nach Anzeichen für einen Einbruch Ausschau halten. Die für den Hack mutmaßlich verantwortliche Hafnium-Gruppe hat erreichbare Exchange-Server mit einer Backdoor versehen. Es gilt, diese aufzuspüren und unschädlich zu machen. Außerdem stellt sich die Frage, inwieweit die Exchange-Lücke eine meldepflichtige Datenschutzverletzung darstellt“, so Patrycja Schrenk.

Zehntausende Unternehmen betroffen

Mit Exchange-Server bietet Microsoft einen Dienst an, mit dem in Netzwerken die E-Mail-Kommunikation gesteuert, die elektronische Kommunikation aber auch auf schädliche Dateien wie Viren geprüft werden kann. Sämtliche eingehenden und ausgehenden E-Mails landen beim entsprechenden Exchange-Server; von dort aus werden sie an die Empfänger verteilt. Wenngleich es Alternativen gibt, setzen weltweit zahlreiche staatliche und privatwirtschaftliche Institutionen auf Microsoft Exchange-Server. Damit sind aber auch Zehntausende von Unternehmen, Behörden, sogar Banken oder Forschungseinrichtungen von der Sicherheitslücke betroffen: Ihre E-Mails können mitgelesen werden, schlimmstenfalls lassen sich sogar Rechner fernsteuern. Laut Wall Street Journal könnten es mehr als 250.000 Opfer weltweit sein. Die Schätzungen der betroffenen Unternehmen in Deutschland liegen zwischen 60.000 bis hin zu mehreren 100.000. Tatsächlich ausgenommen sind Nutzende der Microsoft-eigenen Cloud-Lösungen.

„Gerade in Deutschland wird vor allem deshalb auf Self-Hosting-Lösungen gesetzt, um die Datenhoheit zu behalten, Vorgaben der DSGVO einzuhalten und damit insgesamt die Sicherheit zu erhöhen. In diesem aktuellen Sicherheitsvorfall darf die Schuld deshalb weder auf die Cloud-müden deutschen Unternehmen noch auf die mutmaßlich verantwortliche Hafnium-Gruppe verteilt werden“, meint Patrycja Schrenk und sieht die Verantwortung bei Microsoft: „Microsoft hat sich nach Bekanntwerden der Lücke Anfang Januar nicht sehr darum bemüht, Updates so zu gestalten, dass sie zeitnah eingespielt werden können. Microsoft ließ sich viel zu lange Zeit, die Sicherheitslücke zu veröffentlichen und Patches bereitzustellen. Hinzu kam ein Problem beim Patchen: Nicht allen gelang es, die Schwachstelle wirklich zu schließen. Vielfach konnten die Patches nicht eingespielt werden, da dies mit älteren CUs nicht möglich war. Erst mit dem 09. März ermöglichte Microsoft Patches auch bei veralteten CU-Ständen.“, so die IT-Sicherheitsexpertin.

Zusammenfassung: Was ist überhaupt passiert?

Die Sicherheitsfirma Volexity beobachtete bereits am 06. Januar 2021 Angriffe über eine bis dato nicht veröffentlichte Exchange-Schwachstelle. Im Laufe der darauf folgenden Wochen gab es einzelne Angriffe auf ausgesuchte Exchange-Server. Microsoft plante die Veröffentlichung eines Sicherheits-Patches für den 9. März. Jedoch begann am 26. Februar die chinesische Hafnium-Hackergruppe mit Massenscans: Exchange-Server, die verwundbar waren, wurden automatisch mit einer Webshell infiziert. Mit dem 02. März veröffentlichte Microsoft Sicherheitsupdates – und nur wenige Stunden nach Veröffentlichung dieser außerplanmäßigen Updates und der inzwischen vier bekannten Schwachstellen - begann die beispiellose Infektion sämtlicher via Internet erreichbaren ungepatchten Exchange-Server. Das führte dazu, dass Administratoren kaum eine Möglichkeit hatten, zu reagieren.


Weitere Artikel

Hacker Corona

Warnung vor betrügerischer E-Mail Kampagne mit Pfizer-Corona-Impfumfrage

Mit dem vermeintlichen Absender Pfizer und unter dem Vorwand, Umfragen zum Thema Corona-Impfstoffe durchzuführen, haben Betrüger seit April persönliche Daten und möglicherweise auch Geld von mehr als 200.000 Verbrauchern erbeutet.
Bot

Emotet ist tot! ­ Lang lebe Qbot!

Der aktuelle Bedrohungsreport von G DATA zeigt, dass Cyberkriminelle bereits einen Nachfolger für Emotet gefunden haben: Qbot. Bei fast jedem vierten abgewehrten Angriff war die Schadsoftware mit von der Partie. Die Zahlen belegen, dass im ersten Quartal…
Ransomware

Massiver Ransomware-Angriff auf Pipeline-Betreiber

Am Wochenende vermeldeten internationale Medien einen Cyberangriff (Ransomware-Attacke mit einer beute von rund 100 Gigabyte) auf den größten Pipeline-Betreiber in den USA, Colonial Pipeline, der dessen Betrieb lahmlegte.
Phishing

Finanzdienstleister im Visier: 125 Prozent mehr Phishing-Angriffe im Jahr 2020

Lookout, ein Unternehmen für integrierte Endpoint-to-Cloud-Sicherheit, veröffentlicht aktuell einen Bericht, aus dem hervorgeht, dass sich das Risiko für mobiles Phishing bei Finanzdienstleistern und Versicherungen zwischen 2019 und 2020 verdoppelt hat.
Passwortmanagement

Passwörter öffnen Hackern Tür und Tor

Passwort ist gar nicht so schwer. „Am Weltpassworttag sollte man seine Zugangsdaten nicht vergessen.
Phishing

Wachsende Gefahr durch OAuth-Attacken

Mit den bereits vor einigen Jahren eingeführten Applikationen auf Basis von Open Authorization (OAuth) konnten die großen Cloud-Plattformen wie Microsoft 365 und Google Workspace ihren Funktionsumfang vergrößern und gleichzeitig ihre Benutzeroberflächen…

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.