Nachdem der Angriff chinesischer Hacker unter dem Namen Hafnium begonnen hatte, entwickelte sich ein internationales Bedrohungsrisiko für Nutzer von Microsoft Exchange. Nachdem Microsoft das Angriffsmuster veröffentlicht hatte, explodierte die Anzahl der Angreifer. Neben amerikanischen Unternehmen und Behörden kommt nun auch Europa in den Fokus der Hacker.
Das sind die Prämissen der Angriffe
Ziel der Angriffe ist die Extraktion von Daten. Emails, Kontaktdaten sowie Firmeninterna; das ist die begehrte Beute der Hacker. Dafür werden Schwachstellen des Exchange Servers genutzt, um die Daten auf Filesharing Plattformen zu transferieren. Diese können nun von den Hackern weiter verwendet werden. Da primär ungepatchte Versionen des Exchange Servers interessant sind, betrifft dieser Angriff nach Aussagen des US Cybersecurity Experten Chris Krebs besonders kleinere Unternehmen, Behörden und Einrichtungen.
Immerhin positiv an diesen Angriffen: Nicht alle Hacks sind erfolgreich. Automatisiert oder chaotisch ausgeführt, treffen diese Angriffe auf unterschiedliche Levels von Sicherheitsvorkehrungen. Interne Einstellungen können hier größeren Schaden verhindern. Dennoch gilt auch hier: besser einmal mehr überprüfen und sichern, als die Geschäftsgrundlage zu verlieren. Sollten Sie also einen Exchange Server im Einsatz haben, empfehlen wir als erste Maßnahme die Überprüfung des Systems nach der von Microsoft veröffentlichten Anleitung.
Etwa tiefer ins Detail - aber noch weit von reiner Technik entfernt
Die am häufigsten verwendeten Sicherheitslücken betrafen Exchange und die Kontakt- sowie Adressdaten. Durch die Sicherheitslücke CVE-2021-26855 zur Simulation der authentifizierten Exchange Server (als http Anfrage getarnt) erlangten die Hacker Zugriff. Über einen Derealisierungs - Exploit CVE-2021-26857 implementierten die Angreifer nun Schadcodes (zum Beispiel Webshells). So gewannen sie die Chance, Daten zu exportieren. Diese wurden über Datenschreibungs -Exploits (insbesondere CVE-2021-26858 und CVE-2021-27065) herausgeschrieben und kompressiert.
Noch folgenschwerer allerdings wogen Remote Zugriffstools, welche nach Installation den Hackern schlussendlich Zugriff auf das gesamte Netzwerk verschafften. Hier kam wohl primär das Programm PowerCat zum Einsatz. Eine genaue Beschreibung im Rahmen einer Veröffentlichung von Microsoft finden Sie hier.
Wie können Sie sich gegen diese Angriffe wappnen?
Primär sollten Sie die neuesten Microsoft Sicherheitsupdates installieren. Auch Exchange ohne Support ist hierfür von Microsoft freigegeben. Danach überprüfen Sie bitte, wie oben angesprochen, ob Sie (bzw. der Server) kompromittiert wurden.
Und langfristig: Neue Techniken, wie die unseres Partners SIEM, können diese Angriffe proaktiv sichtbar machen, und ermöglichen auch ohne Sicherheitsupdates erste Gegenmaßnahmen. Zur Verhinderung einer erneuten Kompromittierung empfehlen wir eine Überprüfung der bestehenden Sicherheitsmaßnahmen und eine eventuelle Verstärkung selbiger. Gerne beraten wir Sie zu Möglichkeiten in diesem Bereich.
Bild von Csaba Nagy auf Pixabay