{"id":1082,"date":"2021-05-25T11:45:47","date_gmt":"2021-05-25T09:45:47","guid":{"rendered":"http:\/\/blog.eprivacy.eu\/?p=1082"},"modified":"2021-05-25T11:51:41","modified_gmt":"2021-05-25T09:51:41","slug":"angriff-auf-den-mailserver-dienst-microsoft-exchange","status":"publish","type":"post","link":"https:\/\/blog.eprivacy.eu\/?p=1082&lang=de","title":{"rendered":"Angriff auf den Mailserver-Dienst „Microsoft Exchange“"},"content":{"rendered":"\n

In den ersten Monaten dieses Jahres kam es zu einem Hackerangriff auf den Mailserver-Dienst \u201eMicrosoft Exchange\u201c. Hinter dem Angriff steckte nach Informationen von Microsoft die chinesische, staatsnahe Gruppe Hafnium, die kurz vor einem geplanten Sicherheits-Update f\u00fcr Angriffe auf E-Mail-Systeme des Konzerns ihre Aktivit\u00e4ten so intensivierte, dass das Bundesamt f\u00fcr Sicherheit in der Informationstechnik schlussendlich den \u201eCode Red\u201c ausrufen musste. Die Schwachstellen waren sog. Zero-Day-L\u00fccken f\u00fcr die bis dahin keine Updates bereitstanden.
 
Der Angriff infiltrierte zahlreiche zumeist amerikanische Unternehmen. Ziele seien unter anderem Forschung zu Infektionskrankheiten sowie Hochschulen, Anwaltsfirmen und Unternehmen mit Verteidigungsauftr\u00e4gen gewesen. Aber auch in Deutschland waren Zehntausende Exchange-Server betroffen, davon laut BSI einige in deutschen Bundesbeh\u00f6rden wie zum Beispiel die europ\u00e4ische Bankenaufsichtsbeh\u00f6rde European Banking Authority (EBA).
 
Ausgenutzt wurden sog. Zero-Day-L\u00fccken, Schwachstellen, die bis dahin nicht publiziert wurden und f\u00fcr die zu diesem Zeitpunkt keine Updates bereitstanden.
 
Bei jedem Vorfall haben die Hacker eine sogenannte \u201eWeb-Shell\u201c hinterlassen, ein passwortgesch\u00fctztes Hacking-Werkzeug, auf das \u00fcber das Internet von jedem Web-Browser aus mit Administrator-Rechten zugegriffen werden kann. Die Hacker k\u00f6nnen damit Befehle entsprechend eines System-Administrators absetzen. Der Umfang der Rechte ist dabei abh\u00e4ngig von dem jeweiligen Dienst, der die Web-Shell gestartet hat.
 
Welche Exchange-Server wurden angegriffen?<\/strong>
Konkret betroffen waren die Versionen 2013, 2016 und 2019 die \u00fcber das Web (Port 443) erreichbar sind. \u00dcber Selbsttests von Microsoft, sog. Indicators of Compromise (IoCs) l\u00e4sst sich pr\u00fcfen, ob die eigenen Server betroffen sind.
 
Was ist zu tun, wenn man eine Infektion erkennt?<\/strong>
Leider reicht es nicht aus sog. Patches einzuspielen, die Web-Shells zu l\u00f6schen und das System neu zu starten. Vielmehr sollten alle Aktivit\u00e4ten auf dem Server akribisch gepr\u00fcft werden, um eine Ausweitung des Angriffs zu verhindern, beispielsweise wenn sich die Hacker auf weiteren Systemen innerhalb der IT-Infrastuktur anmelden und auch dort Schaden verursachen. Sie k\u00f6nnen sich auf den Exchange-Servern selbst aber auch auf weiteren Systemen nachhaltigen Zugriff abseits der eigentlichen Web-Shells, z.B. in Form von Backdoors, sichern. Konnte bis zum Active Directory vorgedrungen werden, so kann eine komplette Neuinstallation der gesamten Windows-Umgebung erforderlich werden.
 
Meldepflichtige Datenschutzvorf\u00e4lle
Im Minimum wurden Zugangsdaten (Benutzernamen und Passw\u00f6rter) entwendet. Dies ist als Datenschutzvorfall meldepflichtig.
 
Was ist zu tun?
Meist werden die Server in einem ersten Schritt vom Internet getrennt. Dann werdem die betroffenen Systeme analysiert. Nach der vollst\u00e4ndigen Pr\u00fcfung aller Systeme kann das System dann \u201egepacht \u201ewerden. Hierf\u00fcr hat Microsoft im Nachgang des Hafnium Hacks einen au\u00dferordentlichen Patch bereitgestellt.
Anschlie\u00dfend gilt es die Systeme zu bereinigen und den Angreifer langfristig auszusperren. Der eigentliche Betrieb kann zu diesem Zeitpunkt inder Regel schon wieder anlaufen.
Ohne eine tiefe Analyse der betroffenen Systeme, diese wieder in den Betrieb zu nehmen, birgt allerdings das Risiko, dass der Angreifer weiterhin Zugriff auf die betreffenden Systeme und Daten hat.<\/p>\n\n\n\n

Weitere Informationen dazu erhalten Sie auch von unseren Kollegen bei ePrivacy.<\/p>\n\n\n\n

https:\/\/t5baa4d95.emailsys1c.net\/c\/107\/4058729\/4221\/0\/11200275\/485\/255017\/b8de05181b.html<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

In den ersten Monaten dieses Jahres kam es zu einem Hackerangriff auf den Mailserver-Dienst \u201eMicrosoft Exchange\u201c. Hinter dem Angriff steckte nach Informationen<\/p>\n

Read More<\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":[],"categories":[10],"tags":[],"_links":{"self":[{"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=\/wp\/v2\/posts\/1082"}],"collection":[{"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=1082"}],"version-history":[{"count":1,"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=\/wp\/v2\/posts\/1082\/revisions"}],"predecessor-version":[{"id":1084,"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=\/wp\/v2\/posts\/1082\/revisions\/1084"}],"wp:attachment":[{"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=1082"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=1082"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=1082"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}