Schwachstelle Exchange-Server I - Patchen, Patchen, Patchen

Heute: Microsoft Exchange Server

Außer der Reihe musste Microsoft wichtige Sicherheitsupdates für verschiedene Versionen von Exchange Serverrausbringen. Der Grund sind gezielte Angriffe auf drei Sicherheitslücken mit dem Bedrohungsgrad „kritisch“. Diese Arbeit macht sich Microsoft nur in besonderen Fällen, denn normalerweise gibt es nur in monatlichen Abständen Sicherheitspatches.

Wer oder was steckt dahinter?

Die Angriffe gehen Microsoft zu folge auf das Konto der chinesischen Hacker-Gruppe HAFNIUM. Ziel der Aktion sollen voranging US-Firmen beispielsweise aus dem Industriesektor, Bildungseinrichtungen und NGOs sein. So verwundert es wenig, dass gemunkelt wird, die Hackergruppe soll auf der Gehaltsliste der chinesischen Regierungen stehen.

Wie ist das Vorgehen?

Die Angriffe umfassen drei Schritte:

HAFNIUM verschafft sich Zugang zu einem Exchange Server, entweder mit gestohlenen Passwörtern oder indem er zuvor unentdeckte Schwachstellen nutzt, um sich als jemand auszugeben, der oder die eigentlich Zugang haben sollte. Organisationen können sich davor schützen, indem sie vertrauenswürdige Verbindungen einschränken oder einen VPN einrichten, um den Exchange Server vom externen Zugriff zu trennen. Diese Maßnahmen können jedoch nur vor dem ersten Schritt eines HAFNIUM -Angriffs schützen. Die weiteren Angriffsschritte können ausgelöst werden, wenn ein Angreifer bereits Zugriff hat oder eine*n Administrator*in dazu bringen kann, eine schädliche Datei auszuführen..
Dann erstellt HAFNIUM eine sogenannte Web-Shell, um den kompromittierten Server aus der Ferne zu steuern.
Den Fernzugriff nutzt HAFNIUM – ausgeführt von den privaten Servern in den USA –, um Daten aus dem Netzwerk einer Organisation zu stehlen.

"Wir raten daher allen Exchange Server-Kunden, diese Updates sofort zu installieren."

Microsoft Security Threat Response Teams