Microsoft Exchange-Server-Hack: Nicht mit uns!
19. März 2021 | von Jakob Schlag
Tausende Unternehmen und sogar einige Bundesministerien sind betroffen von gehackten E-Mail-Servern. Das E-Mail-System der Universität Regensburg war jedoch zu keiner Zeit gefährdet.
Der großflächige Angriff auf Microsoft Exchange Server läuft bereits seit Anfang März, Ziele waren ursprünglich vor allem Organisationen in Nordamerika, darunter auch viele Universitäten. Jedoch erhöhte sich nach der Veröffentlichung der genutzten Schwachstelle in Microsoft Exchange Servern die Anzahl der angreifenden Gruppen und damit auch die Hauptangriffsziele. Teilweise werden inzwischen großflächig und weltweit anfällige Server gehackt, die noch keinen entsprechenden Patch erhalten haben.
Das offizielle E-Mail-System der Universität Regensburg nutzt keine Microsoft-Exchange-Server, sondern ein GroupWise-System der Firma Microfocus. Aus diesem Grund ist die Universität von diesem Angriff nicht betroffen.
Ursprünglich wurde die Schwachstelle vor allem von der Gruppe „Hafnium“ genutzt, die üblicherweise auf Informationsbeschaffung von ThinkTanks, NGOs, Universitäten, Rüstungsfirmen und Corona-Forschung abzielt. Daher wird die aktuelle Angriffswelle in den Medien auch als „Hafnium Exploit“ oder „Hafnium Exchange-Server-Hack“ bezeichnet. Laut Microsoft soll es sich dabei um eine staatlich finanzierte Hackergruppe handeln, die aus China operiert. Microsoft stellt gleichzeitig fest, dass es sich bereits um die achte Aktivität einer staatlichen Gruppe handelt, die von Microsoft in den vergangenen zwölf Monaten veröffentlicht wurde und auf zivilgesellschaftlich essenzielle Institutionen abziele.
Die genutzte Schwachstelle selbst war zum Zeitpunkt der ersten Nutzung noch nicht öffentlich bekannt (Zero-Day-Exploit). Daher war ein Schutz anfangs für die einzelnen Server-Administratoren nicht möglich. Kern der Sicherheitslücke war die Möglichkeit, die Exchange-Authentifizierung zu umgehen und sich so als Administrator des Exchange-Servers anzumelden. Nicht betroffen sollen Systeme sein, die einen Zugriff nur innerhalb eines bestehenden Virtuelle-Privat-Netzwerks (VPN) erlauben. Allerdings wird gerade für E-Mail-Systeme oft kein aktives VPN verlangt.
Microsoft selbst soll bereits seit Anfang Januar von der Sicherheitslücke gewusst und die Behebung für den 09.03.2021 geplant haben, wie das Nachrichtenportal golem.de berichtet. Durch die zunehmend breiteren Angriffe wurde die Veröffentlichung des Patches auf den 02.03.2021 vorgezogen.
Der Vorfall zeigt einmal mehr die Bedeutung von schnellen und zielgerichteten Maßnahmen in der Informationssicherheit, um auch auf hochspezialisierte, staatlich finanzierte Angreifer effektiv reagieren zu können.
Quellen:
Günter Born (heise.de): Der Hafnium Exchange-Server-Hack: Anatomie einer Katastrophe. 11.03.2021.
Moritz Tremmel (golem.de): Microsoft weiß schon seit zwei Monaten von Zero Days. 09.03.2021.
Microsoft: New nation-state cyberattacks. 02.03.2021.
