„Hafnium“ – Angriff auf Microsoft Exchange Server

Nachdem am 03. März 2021 Microsoft über Sicherheitslücken in den Exchange Servern (Versionen 2013 bis 2019) berichtet hat, ist wirklich viel passiert. Um es gleich vorweg zu nehmen: so eine beispiellose Angriffswelle haben wir mit unserer fast 30-jährigen IT-Markterfahrung noch nicht erlebt.

Was ist passiert?

In der Nacht vom 2. zum 3. März 2021 gab Microsoft vier kritische Sicherheitslücken bei der Software Microsoft Exchange Server bekannt. Zeitgleich veröffentlichte der Hersteller entsprechende Sicherheitspatches mit der Empfehlung, diese schnellstmöglich zu installieren. Microsoft sieht die Verantwortlichen bei einer aus China agierenden Hackergruppe namens Hafnium. Während im Januar 2021 wenige gezielte Angriffe auf amerikanische Einrichtungen benannt wurden, mussten wir mit dem Zeitpunkt der Veröffentlichung ein schlagartig einsetzendes Flächenbombardement auf alle aus dem Internet erreichbaren Exchange Server beobachten. Die spezialisierte Suchmaschine „Shodan“ nennt allein für Deutschland über 57.000 betroffene Systeme.

Administratoren hatten kaum eine Chance, die notwendigen Patches rechtzeitig einzuspielen, was viele Fragen zur verzögerten Informationspolitik seitens Microsoft aufwirft. Wer bis zum 4. März 2021 seine Server nicht aktualisieren konnte, muss davon ausgehen, dass die Angreifer Schadsoftware platzieren konnten. Bereits ab dem 5. März sahen wir erfolgreiche Einbruchsversuche. Wir gehen davon aus, dass es noch immer tausende kompromittierte Server gibt. Die Folgen werden sich erst in den nächsten Wochen und Monaten abschätzen lassen. Darüberhinaus gibt es mittlerweile viele Trittbrettfahrer, weil Code zur Ausnutzung der Sicherheitslücken im Internet veröffentlicht wurde. Exchange Online ist laut Microsoft übrigens nicht davon betroffen.

Unsere Empfehlung :

Alle Exchange Server mit aktiviertem Zugang für Outlook Web Access oder ActiveSync zur Ankopplung von Mobilgeräten sollten nochmals geprüft werden. Dabei helfen Prüfscripte sowie entsprechende Hinweise von Microsoft (siehe Linkliste).

Alle bis heute nicht abgesicherten Systeme können als definitiv kompromittiert betrachtet werden.

Proaktiv empfehlen wir beim kleinsten Verdacht auf einen erfolgreichen Angriff die Änderung von Passwörtern für Benutzer, Domänen-Administratoren sowie weiterführende Maßnahmen wie z.B. KRBTGT Key Rollover.

Hinweis in eigener Sache:

Unsere Servicevertragskunden haben wir separat über den Stand ihrer Exchange Server-Umgebung informiert, hier sind keine weiteren Handlungen notwendig.

Quellen:

Jan Weikert

Über Jan Weikert

Technischer Geschäftsführer/Projektleitung Schwerpunkte: IT-Beratung und Planung, Netzwerktechnik Routing, Switching, Firewalls, VPN; Betriebssysteme Microsoft Windows, LINUX, Novell Netware; Virtualisierung mit VMWare, Speichertechnologien und IT-Security