In den ersten Monaten dieses Jahres kam es zu einem Hackerangriff auf den Mailserver-Dienst „Microsoft Exchange“. Hinter dem Angriff steckte nach Informationen von Microsoft die chinesische, staatsnahe Gruppe Hafnium, die kurz vor einem geplanten Sicherheits-Update für Angriffe auf E-Mail-Systeme des Konzerns ihre Aktivitäten so intensivierte, dass das Bundesamt für Sicherheit in der Informationstechnik schlussendlich den „Code Red“ ausrufen musste. Die Schwachstellen waren sog. Zero-Day-Lücken für die bis dahin keine Updates bereitstanden.
Der Angriff infiltrierte zahlreiche zumeist amerikanische Unternehmen. Ziele seien unter anderem Forschung zu Infektionskrankheiten sowie Hochschulen, Anwaltsfirmen und Unternehmen mit Verteidigungsaufträgen gewesen. Aber auch in Deutschland waren Zehntausende Exchange-Server betroffen, davon laut BSI einige in deutschen Bundesbehörden wie zum Beispiel die europäische Bankenaufsichtsbehörde European Banking Authority (EBA).
Ausgenutzt wurden sog. Zero-Day-Lücken, Schwachstellen, die bis dahin nicht publiziert wurden und für die zu diesem Zeitpunkt keine Updates bereitstanden.
Bei jedem Vorfall haben die Hacker eine sogenannte „Web-Shell“ hinterlassen, ein passwortgeschütztes Hacking-Werkzeug, auf das über das Internet von jedem Web-Browser aus mit Administrator-Rechten zugegriffen werden kann. Die Hacker können damit Befehle entsprechend eines System-Administrators absetzen. Der Umfang der Rechte ist dabei abhängig von dem jeweiligen Dienst, der die Web-Shell gestartet hat.
Welche Exchange-Server wurden angegriffen?
Konkret betroffen waren die Versionen 2013, 2016 und 2019 die über das Web (Port 443) erreichbar sind. Über Selbsttests von Microsoft, sog. Indicators of Compromise (IoCs) lässt sich prüfen, ob die eigenen Server betroffen sind.
Was ist zu tun, wenn man eine Infektion erkennt?
Leider reicht es nicht aus sog. Patches einzuspielen, die Web-Shells zu löschen und das System neu zu starten. Vielmehr sollten alle Aktivitäten auf dem Server akribisch geprüft werden, um eine Ausweitung des Angriffs zu verhindern, beispielsweise wenn sich die Hacker auf weiteren Systemen innerhalb der IT-Infrastuktur anmelden und auch dort Schaden verursachen. Sie können sich auf den Exchange-Servern selbst aber auch auf weiteren Systemen nachhaltigen Zugriff abseits der eigentlichen Web-Shells, z.B. in Form von Backdoors, sichern. Konnte bis zum Active Directory vorgedrungen werden, so kann eine komplette Neuinstallation der gesamten Windows-Umgebung erforderlich werden.
Meldepflichtige Datenschutzvorfälle
Im Minimum wurden Zugangsdaten (Benutzernamen und Passwörter) entwendet. Dies ist als Datenschutzvorfall meldepflichtig.
Was ist zu tun?
Meist werden die Server in einem ersten Schritt vom Internet getrennt. Dann werdem die betroffenen Systeme analysiert. Nach der vollständigen Prüfung aller Systeme kann das System dann „gepacht „werden. Hierfür hat Microsoft im Nachgang des Hafnium Hacks einen außerordentlichen Patch bereitgestellt.
Anschließend gilt es die Systeme zu bereinigen und den Angreifer langfristig auszusperren. Der eigentliche Betrieb kann zu diesem Zeitpunkt inder Regel schon wieder anlaufen.
Ohne eine tiefe Analyse der betroffenen Systeme, diese wieder in den Betrieb zu nehmen, birgt allerdings das Risiko, dass der Angreifer weiterhin Zugriff auf die betreffenden Systeme und Daten hat.
Weitere Informationen dazu erhalten Sie auch von unseren Kollegen bei ePrivacy.
https://t5baa4d95.emailsys1c.net/c/107/4058729/4221/0/11200275/485/255017/b8de05181b.html