Exchange-Server-Lücken: 125'000 Server ungepatcht

11. März 2021, 13:15
  • security
  • breach
  • lücke
  • microsoft
  • eset
  • palo alto
image

Mittlerweile nutzen 10 Hackergruppen die bekannten Microsoft-Schwachstellen aus. Das jüngste Opfer ist das norwegische Parlament.

Nun hat es das norwegische Parlament erwischt: Am 10. März teilte es mit, dass Kriminelle über eine schwerwiegende Lücke in Microsofts Exchange Server in ihr System eingedrungen seien. Aufgefallen war dies dem Parlamentsdienst, der gezielt nach Angriffen auf Basis der bekannten Lücke gesucht hatte. Es seien Daten gestohlen worden, das Ausmass könne man aber noch nicht abschätzen, hiess es in der Mitteilung.
Für die vier Zero-Day-Lücken in Microsofts Exchange Server wurden von Microsoft am 2. März Not-Patches veröffentlicht. Die Schwachstellen waren bis dahin bereits von Hackern ausgenutzt worden. Nun teilt das Cyber-Security-Unternehmen Eset mit, dass mindestens zehn verschiedene Hackergruppen auf die Schwachstelle abzielen und das Internet danach scannen.
Die bekannteste davon heisst "Hafnium" und soll im Dienst der chinesischen Regierung arbeiten. Aus Norwegen heisst es, dass man die Attacke als "einen Angriff auf unsere Demokratie" werte. Das Parlament war bereits 2020 Opfer eines Hacks geworden, der damals Russland angelastet wurde.

Alarmstufe rot: Die Kriminellen beeilen sich

Nach wie vor herrscht wegen den Lücken in Microsoft Exchange Server "Bedrohungsstufe rot", wie sie etwa das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) ausgerufen hat. Die Anzahl der Opfer lässt sich noch kaum abschätzen, allein Eset hat nach eigenem Bekunden auf 5000 Servern in 115 Ländern bösartige Skripts festgestellt, die über die Schwachstellen eingeschleust wurden. Viele seien erst kürzlich implementiert worden, schreibt das Cyber-Security-Unternehmen in einem Blogbeitrag.
"Nach dem Patch haben wir einen starken Anstieg der Attacken gesehen und glauben, dass einige Angreifer mit Massenscans begonnen haben. Sie wollten wahrscheinlich so viele Server wie möglich kompromittieren, bevor die Patches auf den für sie interessantesten Mail-Servern installiert werden", erklärte Eset-Forscher Matthieu Faou gegenüber 'ZDnet'.
Palo Alto Networks schätzt, dass noch immer über 125'000 ungepatchte Exchange Server auf der Welt rumstehen. Zudem könnten auch gepatchte Systeme in Gefahr sein, da sie längst kompromittiert sein können. Laut Kaspersky gehört die Schweiz zu den 5 Ländern, die am häufigsten angegriffen worden sind, konkrete Opfer sind hierzulande  noch keine bekannt geworden.

Die Vorwürfe an Microsoft

Microsoft wird von verschiedenen Seiten vorgeworfen, nachlässig gehandelt zu haben: Demnach sollen erst externe Security-Experten die Lücken entdeckt haben – die erste bereits Anfang Dezember 2020, was sie Anfang Januar 2021 Microsoft meldeten. Also rund zwei Monat vor den Patches. In der Zwischenzeit soll Microsoft seine Kunden nicht gewarnt haben, wie etwa Security-Experte Brian Krebs konstatiert.
In einem Blogbeitrag schlägt Palo Alto nun vier Schritte vor: 1. Alle Exchange Server lokalisieren und bestimmen, ob sie gepatcht werden müssen. 2. Patchen und Sichern. 3. Prüfen, ob das System kompromittiert wurde. Microsoft hat dazu mittlerweile ein Tool veröffentlicht. 4. Bei Verdacht ein Incident-Response-Team hinzuziehen.

Loading

Mehr zum Thema

image

Cyberkriminelle erbeuten Kundendaten der Online-Apotheke DocMorris

Bei dem Cyberangriff haben unbekannte Täter 20'000 Kundenkonten kompromittiert. Die Online-Apotheke gehört zur Schweizer "Zur Rose"-Gruppe.

publiziert am 27.1.2023
image

Schwerer Schlag gegen eine der erfolgreichsten Ransomware-Banden

Die Gruppe Hive hatte unter anderen Emil Frey und Media Markt attackiert. Jetzt haben das FBI, Europol und weitere Behörden die Hive-Infrastruktur ausgeschaltet.

publiziert am 27.1.2023
image

Angeblicher Datendiebstahl: Unispital Lausanne gibt Entwarnung

Ein Hacker behauptete, im Besitz von 2 Millionen Datensätzen des Spitals zu sein. Doch das Datenpaket stammt offenbar aus Frankreich.

publiziert am 27.1.2023
image

Zwei Wochen nach der Cyberattacke: Britische Post verschickt wieder Päckli

Eine Ransomware-Bande hatte den internationalen Versand der Royal Mail lahmgelegt.

publiziert am 27.1.2023