Anzeige

Hacked

Microsoft schloss zum 3. März 2021 mit einem außerplanmäßigen Sicherheitsupdate vier Schwachstellen in den Microsoft Exchange-Server-Versionen 2010 bis 2019. Zunächst stellte Microsoft die Bedrohung als relativ gering dar. Mittlerweile läuft eine beispiellose Angriffswelle auf ungepatchte Exchange-Instanzen.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat die Alarmstufe Rot ausgerufen.

„Das BSI vergibt nicht leichtfertig ein „Rot“ – in diesem Fall war es leider angebracht: Die Schwachstellen in Microsoft Exchange Server werden aktiv ausgenutzt und es besteht höchster Handlungsbedarf. Denn die Schwachstellen sind nicht nur immens weit verbreitet, sondern sie sind auch noch verhältnismäßig leicht auszunutzen. Ransomware, das Sammeln von Informationen oder der Missbrauch von Daten: All dem ist aktuell Tür und Tor geöffnet, denn noch immer sind Tausende von Server ungepatcht“, warnt auch Patrycja Schrenk, Geschäftsführerin der PSW GROUP.

Sie ruft zum raschen Handeln auf: „Unternehmen, Behörden und Institutionen müssen jetzt nicht nur patchen, sondern auch nach Anzeichen für einen Einbruch Ausschau halten. Die für den Hack mutmaßlich verantwortliche Hafnium-Gruppe hat erreichbare Exchange-Server mit einer Backdoor versehen. Es gilt, diese aufzuspüren und unschädlich zu machen. Außerdem stellt sich die Frage, inwieweit die Exchange-Lücke eine meldepflichtige Datenschutzverletzung darstellt“, so Patrycja Schrenk.

Zehntausende Unternehmen betroffen

Mit Exchange-Server bietet Microsoft einen Dienst an, mit dem in Netzwerken die E-Mail-Kommunikation gesteuert, die elektronische Kommunikation aber auch auf schädliche Dateien wie Viren geprüft werden kann. Sämtliche eingehenden und ausgehenden E-Mails landen beim entsprechenden Exchange-Server; von dort aus werden sie an die Empfänger verteilt. Wenngleich es Alternativen gibt, setzen weltweit zahlreiche staatliche und privatwirtschaftliche Institutionen auf Microsoft Exchange-Server. Damit sind aber auch Zehntausende von Unternehmen, Behörden, sogar Banken oder Forschungseinrichtungen von der Sicherheitslücke betroffen: Ihre E-Mails können mitgelesen werden, schlimmstenfalls lassen sich sogar Rechner fernsteuern. Laut Wall Street Journal könnten es mehr als 250.000 Opfer weltweit sein. Die Schätzungen der betroffenen Unternehmen in Deutschland liegen zwischen 60.000 bis hin zu mehreren 100.000. Tatsächlich ausgenommen sind Nutzende der Microsoft-eigenen Cloud-Lösungen.

„Gerade in Deutschland wird vor allem deshalb auf Self-Hosting-Lösungen gesetzt, um die Datenhoheit zu behalten, Vorgaben der DSGVO einzuhalten und damit insgesamt die Sicherheit zu erhöhen. In diesem aktuellen Sicherheitsvorfall darf die Schuld deshalb weder auf die Cloud-müden deutschen Unternehmen noch auf die mutmaßlich verantwortliche Hafnium-Gruppe verteilt werden“, meint Patrycja Schrenk und sieht die Verantwortung bei Microsoft: „Microsoft hat sich nach Bekanntwerden der Lücke Anfang Januar nicht sehr darum bemüht, Updates so zu gestalten, dass sie zeitnah eingespielt werden können. Microsoft ließ sich viel zu lange Zeit, die Sicherheitslücke zu veröffentlichen und Patches bereitzustellen. Hinzu kam ein Problem beim Patchen: Nicht allen gelang es, die Schwachstelle wirklich zu schließen. Vielfach konnten die Patches nicht eingespielt werden, da dies mit älteren CUs nicht möglich war. Erst mit dem 09. März ermöglichte Microsoft Patches auch bei veralteten CU-Ständen.“, so die IT-Sicherheitsexpertin.

Zusammenfassung: Was ist überhaupt passiert?

Die Sicherheitsfirma Volexity beobachtete bereits am 06. Januar 2021 Angriffe über eine bis dato nicht veröffentlichte Exchange-Schwachstelle. Im Laufe der darauf folgenden Wochen gab es einzelne Angriffe auf ausgesuchte Exchange-Server. Microsoft plante die Veröffentlichung eines Sicherheits-Patches für den 9. März. Jedoch begann am 26. Februar die chinesische Hafnium-Hackergruppe mit Massenscans: Exchange-Server, die verwundbar waren, wurden automatisch mit einer Webshell infiziert. Mit dem 02. März veröffentlichte Microsoft Sicherheitsupdates – und nur wenige Stunden nach Veröffentlichung dieser außerplanmäßigen Updates und der inzwischen vier bekannten Schwachstellen - begann die beispiellose Infektion sämtlicher via Internet erreichbaren ungepatchten Exchange-Server. Das führte dazu, dass Administratoren kaum eine Möglichkeit hatten, zu reagieren.


Weitere Artikel

Russland Hacker

Angriff auf IT-Lieferketten durch SolarWinds-Hacker mit Passwort-Spraying & Phishing

Microsoft-Sicherheitsforscher haben im Oktober eine Phishing-Kampagne des russischen SVR (Russischer Auslands-Nachrichtendienst) beobachtet, die auf Reseller und Managed Service Provider abzielt.
Black Friday Stop

Vorsicht bei der Schnäppchenjagd - Fake-Shops über Social Media

"Black Friday", "Cyber Week" oder "Black Week": Gerade der Online-Handel buhlt in der Vorweihnachtszeit wieder um Kunden mit besonderen Rabatten.
Black Friday

Black Friday: Kaum Schutz vor E-Mail-Betrug durch Fälschung der Domain

Proofpoint hat im Rahmen einer aktuellen Untersuchung festgestellt, dass lediglich einer der 20 größten Online-Händler in Deutschland über einen vollständigen DMARC-Eintrag (Domain-based Message Authentication, Reporting & Conformance) verfügt.
Darknet

Darknet Kurse - Hacker zeigen, wie man ein Botnetz aufbaut

Die Gefahr durch Botnetze könnte in den kommenden Monaten deutlich steigen, denn mittlerweile werden im Darknet Kurse angeboten, wie man ein Botnetz aufbaut und betreibt.
YouTube Live

Fake Kryptowährungs-Werbegeschenke verbreiten sich auf YouTube Live

Tenable warnte vor vermeintlichen Werbeaktionen für Kryptowährungen in sozialen Medien, nachdem sich Fake-Giveaways für Bitcoin, Ethereum, Dogecoin, Cardano, Ripple und Shiba Inu auf YouTube Live häufen.
Sicherheitslücke

Öffentlich verfügbare Dienste: Angreifer nutzen Schwachstellen aus

Die Zahl der der abgewehrten Angriffsversuche ist im dritten Quartal 2021 weiter gesunken. Das zeigt der aktuelle Bedrohungsreport von G DATA CyberDefense.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.