Spionageabwehr | Geheim- und Sabotageschutz

Microsoft Exchange: Hacker-Gruppierungen nutzen Sicherheitslücken aus

Die Software Microsoft Exchange wird bei vielen Unternehmen und Behörden als zentraler E-Mail-Server zur Verwaltung von E-Mails, Terminen, Kontakten, Aufgaben, Notizen und weiteren Funktionalitäten eingesetzt. Anfang März ver-öffentlichte der Hersteller Microsoft Updates und eine Beschreibung kritischer Sicherheitslücken dieser Server. Deren Auswirkungen sind fatal: Ein Angreifer erhält durch Ausnutzen dieser Schwachstellen Vollzugriff auf das System oder kann weiteren Schaden in der Opfer-Infrastruktur anrichten. 

Die Schwachstellen wurden ausführlich dokumentiert unter den CVE-Nummern[1]

  • CVE-2021-26855 – Umgehung der Authentifizierung,
  • CVE-2021-26857 – Ausführung von Schadcode-Befehlen, 
  • CVE-2021-26858 und CVE-2021-27065 – Ablegen von Backdoors. 

Die Angriffe unter ggf. kumulativer Ausnutzung der genannten Sicherheitslücken finden etwa seit Januar 2021 statt. Bei den Angreifern handelt es sich, wie Microsoft vermutet, um eine staatlich gesteuerte Hacker-Gruppierung aus China, die HAFNIUM genannt wird. So sollen hauptsächlich US-amerikanische Forschungseinrichtungen mit Pandemie-Fokus, Hochschulen, Anwaltsfirmen, Organisationen aus dem Rüstungssektor, Thinktanks und Nichtregierungsorganisationen im Fokus der Angreifer stehen.

Die Patches, mit denen sich die Sicherheitslücken der Mailserver-Software schließen lassen sollen, wurden zuletzt im April in aktualisierter Form veröffentlicht. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat zudem Cyber-Sicherheitswarnungen mit Informationen und Maßnahmen zum Umgang mit den kritischen Schwachstellen in Exchange-Servern herausgegeben.[2]

Wie die bisherigen Erkenntnisse zeigen, nutzen inzwischen diverse staatliche wie kriminelle Hacker-Gruppierungen die bekanntgewordenen Sicherheitslücken massiv aus. Bereits vor der Veröffentlichung der Sicherheits-Patches wurden unter anderem Systeme in den USA und Deutschland angegriffen, beispielsweise unter dem Namen „Operation Cobalt Strike“. Dadurch ist erwiesen, dass nicht ein Reverse-Engineering[3] veröffentlichter Sicherheits-Patches von Microsoft diese Angriffe ermöglicht hat; vielmehr wurden sie extern entdeckt und somit nicht zuerst vom Softwarehersteller detektiert und geschlossen.

Die Webmail-Schnittstelle öffnet die Angriffsfläche


Die Lücken ermöglichen es den Angreifern in der Regel, eine sogenannte Webshell zu installieren, über welche sie die Systeme fernsteuern oder als Command-and-Control-Server missbräuchlich und unbemerkt nutzen können. Aufgrund der schwerwiegenden Sicherheitslücken muss ein möglicherweise angegriffenes System allerdings auch dann als kompromittiert angesehen werden, wenn keine Webshell installiert wurde.

Die Schwachstelle betrifft hierbei die Webmail-Anwendung, über die Benutzer ihre E-Mails auch in einem Webbrowser abrufen können. Im Verlauf der COVID-19-Pandemie wurde gerade diese Schnittstelle von sehr vielen Unternehmen und Behörden freigeschaltet, um Nutzern im Homeoffice den Zugriff auf geschäftliche E-Mails zu ermöglichen.

Obwohl für die bekanntgewordenen Sicherheitslücken bereits Anfang März 2021 entsprechende Updates veröffentlicht worden sind, lassen sich auch Monate später noch ungepatchte Exchange-Systeme auffinden. Diese können auch weiterhin Ziel diverser Angreifer sein. Die Vielzahl entsprechend verwundbarer Opfersysteme weltweit, auch in Deutschland, lässt hohe Opferzahlen vermuten. Das Schadpotenzial ist hoch.

Seit Bekanntwerden der Schwachstellen versuchen verschiedene Angreifer, auch solche ohne staatliche oder nachrichtendienstliche Hintergründe, diese gezielt auszunutzen. Nach heutiger Erkenntnislage wurden die Schwachstellen wohl schon vor dem öffentlichen Bekanntwerden aktiv ausgenutzt. Deshalb ist es aus Sicht der Cyberabwehr des Landesamts für Verfassungsschutz unbedingt erforderlich, dass Systemadministratoren ihre Exchange-Systeme sowohl umgehend patchen als auch auf etwaige frühere Angriffe hin untersuchen. Erfolgreich angegriffene Systeme lassen sich über ein von Microsoft bereitgestelltes Script[4] identifizieren. Die Attacken hinterlassen erkennbare Spuren auf dem kompromittierten System, auf die das Script entsprechend reagiert. Es besteht demnach die Möglichkeit, dass ein System bereits kompromittiert wurde, auch wenn im Nachgang der Sicherheits-Patch installiert wurde.

Exchange-Systeme sollten generell und auch zukünftig durch geeignete Sicherheitsmaßnahmen auf Webshells untersucht werden. So helfen beispielsweise Intrusion Detection-Systeme (IDS) oder EDR-Tools[5] bei der Erkennung und Identifizierung solcher Angriffe und laufender Prozesse auf den Systemen.



Erläuterungen:

  1. Common Vulnerabilities and Exposures (häufige Schwachstellen und Anfälligkeiten): Industriestandard für einheitliche Namenskonvention für Sicherheitslücken und andere Schwachstellen in Computersystemen. Eine Datenbank für solche Schwachstellen ist unter https://cve.mitre.org/ zu finden. 
  2. Siehe hierzu: https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Empfehlungen-nach-Angriffszielen/Server/Microsoft-Exchange_Schwachstelle/schwachstelle_exchange_server.html 
  3. Erkennen der Sicherheitslücke durch Analyse eines Sicherheitspatches. Ist die Lücke erkannt, können mit dieser Information sämtliche Systeme angegriffen werden, die das Sicherheitspatch noch nicht aufgespielt haben.
  4. PowerShell-Skript bereitgestellt auf Microsofts GitHub-Repository „CSS-Exchange“ (https://github.com/microsoft/CSS-Exchange/tree/main/Security).
  5. Intrusion Detection System (IDS), Endpoint Detection and Response (EDR): Systeme zur Angriffserkennung. 

Diese Website verwendet Cookies. Weitere Informationen erhalten Sie in der Datenschutzerklärung.