Microsoft Exchange Server von chinesischen Hackern bedroht

Das Microsoft Threat Intelligence Center (MSTIC) hat einen neuen staatlich unterstützten Bedrohungsakteur festgestellt, genannt Hafnium. Dieser operiert aus China und ist ein sehr versierter und hochentwickelter Akteur.  Obwohl Hafnium seinen Sitz in China hat, führt er seine Operationen hauptsächlich von gemieteten virtuellen privaten Servern (VPS) in den Vereinigten Staaten aus.

In jüngster Zeit hat Hafnium eine Reihe von Angriffen mit bisher unbekannten Exploits durchgeführt, die auf lokale Exchange Server-Software abzielen. Bislang ist Hafnium der Hauptakteur, der diese Exploits verwendet hat. Die Angriffe umfassen drei Schritte:

  1. Hafnium verschafft sich Zugang zu einem Exchange Server, entweder mit gestohlenen Passwörtern oder indem er zuvor unentdeckte Schwachstellen nutzt, um sich als jemand auszugeben, der oder die eigentlich Zugang haben sollte. Organisationen können sich davor schützen, indem sie vertrauenswürdige Verbindungen einschränken oder einen VPN einrichten, um den Exchange Server vom externen Zugriff zu trennen. Diese Maßnahmen können jedoch nur vor dem ersten Schritt eines Hafnium-Angriffs schützen. Die weiteren Angriffsschritte können ausgelöst werden, wenn ein Angreifer bereits Zugriff hat oder Administratoren dazu bringen kann, eine schädliche Datei auszuführen.

2.  Dann erstellt Hafnium eine sogenannte Web-Shell, um den kompromittierten Server aus der Ferne zu steuern.

3. Den Fernzugriff nutzt Hafnium – ausgeführt von den privaten Servern in den USA –, um Daten aus dem Netzwerk einer Organisation zu stehlen.

Microsoft hat Sicherheitsupdates veröffentlicht, mit denen Kunden geschützt werden sollen, die Exchange Server einsetzen. Die sofortige Installation der heutigen Patches ist der beste Schutz gegen diesen Angriff. Microsoft rät daher allen Exchange Server-Kunden, diese Updates sofort zu installieren. Die Exploits stehen in keinem Zusammenhang mit den Angriffen auf SolarWinds, von Microsoft als Solorigate bezeichnet.

Dazu kommentiert Satnam Narang, Staff Research Engineer bei Tenable: „Vier Zero-Day-Schwachstellen in Exchange Server wurden in freier Wildbahn von einer staatlich unterstützen Hackergruppe namens HAFNIUM ausgenutzt. Die Tatsache, dass Microsoft sich dazu entschlossen hat, diese Schwachstellen out-of-band zu patchen, anstatt sie als Teil der Patch Tuesday Release in der nächsten Woche aufzunehmen, deutet darauf hin, dass die Schwachstellen ziemlich schwerwiegend sind, auch wenn wir das volle Ausmaß dieser Angriffe nicht kennen. Während Microsoft erklärt, dass HAFNIUM in erster Linie auf Unternehmen in den USA abzielt, sagen andere Forscher, dass sie beobachtet haben, wie diese Schwachstellen von verschiedenen Kriminellen ausgenutzt werden, die auf andere Regionen abzielen.

Nach unseren bisherigen Erkenntnissen erfordert die Ausnutzung einer der vier Schwachstellen keinerlei Authentifizierung und kann zum Herunterladen von Nachrichten aus der Mailbox eines Zielbenutzers verwendet werden. Die anderen Schwachstellen können von einem entschlossenen Angreifer aneinandergereiht werden, um eine weitere Kompromittierung des Netzwerks der Zielorganisation zu ermöglichen. Wir gehen davon aus, dass andere Kriminelle diese Schwachstellen in den kommenden Tagen und Wochen ausnutzen werden. Deshalb ist es für Unternehmen, die Exchange Server verwenden, von entscheidender Bedeutung, diese Patches sofort anzuwenden.“

ANZEIGE

So reagieren Sie auf die gestiegene Nachfrage von Online-Videos – Wichtige Erkenntnisse und Trends

Der von zahlreichen Ländern wegen der Coronakrise eingeführte Lockdown und die damit verbundene soziale Distanzierung haben neue Rekorde im Online-Videoverkehr gebracht. Erfahren Sie in diesem Webinar, wie Sie Daten untersuchen und quantifizieren, um die Belastung von Netzwerken und CDNs einzuschätzen.

Jakob Jung

Recent Posts

IBM startet Managed-Infrastructure-Services-Spin-Off Kyndryl

IBM kündigt an, dass Kyndryl, der neue Name der Managed-Infrastructure-Services-Geschäftseinheit von Big Blue, bis Ende…

3 Stunden ago

Microsoft warnt vor Banking-Trojanern

Eine neue Angriffsmethode von Banking-Trojanern beunruhigt Microsoft. IcedID, auch bekannt als BokBot, ist ein modularer…

1 Tag ago

Microsoft kauft Nuance

Microsoft soll in fortgeschrittenen Gesprächen zum Kauf zum Kauf des Spracherkennungsspezialisten Nuance Communications eingetreten sein,…

1 Tag ago

VMware erweitert Cloud-Workload-Schutz

VMware führt mit VMware Carbon Black Cloud Container neue Funktionen zum Schutz von Cloud-Workloads sowie…

4 Tagen ago

Bessere Impforganisation mit Technologie

Die Vergabe von Impfterminen lief in den letzten Monaten vielerorts chaotisch. Jetzt ist allmählich Besserung…

4 Tagen ago

Google gibt Lyra frei

Google hat Lyra als Open-Source veröffentlicht, einen Audio-Codec, der maschinelles Lernen nutzt, um mit sehr…

5 Tagen ago