Exchange-Server-Lücken: 125'000 Server ungepatcht

11. März 2021 um 13:15
  • security
  • breach
  • lücke
  • microsoft
  • eset
  • palo alto
image

Mittlerweile nutzen 10 Hackergruppen die bekannten Microsoft-Schwachstellen aus. Das jüngste Opfer ist das norwegische Parlament.

Nun hat es das norwegische Parlament erwischt: Am 10. März teilte es mit, dass Kriminelle über eine schwerwiegende Lücke in Microsofts Exchange Server in ihr System eingedrungen seien. Aufgefallen war dies dem Parlamentsdienst, der gezielt nach Angriffen auf Basis der bekannten Lücke gesucht hatte. Es seien Daten gestohlen worden, das Ausmass könne man aber noch nicht abschätzen, hiess es in der Mitteilung.
Für die vier Zero-Day-Lücken in Microsofts Exchange Server wurden von Microsoft am 2. März Not-Patches veröffentlicht. Die Schwachstellen waren bis dahin bereits von Hackern ausgenutzt worden. Nun teilt das Cyber-Security-Unternehmen Eset mit, dass mindestens zehn verschiedene Hackergruppen auf die Schwachstelle abzielen und das Internet danach scannen.
Die bekannteste davon heisst "Hafnium" und soll im Dienst der chinesischen Regierung arbeiten. Aus Norwegen heisst es, dass man die Attacke als "einen Angriff auf unsere Demokratie" werte. Das Parlament war bereits 2020 Opfer eines Hacks geworden, der damals Russland angelastet wurde.

Alarmstufe rot: Die Kriminellen beeilen sich

Nach wie vor herrscht wegen den Lücken in Microsoft Exchange Server "Bedrohungsstufe rot", wie sie etwa das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) ausgerufen hat. Die Anzahl der Opfer lässt sich noch kaum abschätzen, allein Eset hat nach eigenem Bekunden auf 5000 Servern in 115 Ländern bösartige Skripts festgestellt, die über die Schwachstellen eingeschleust wurden. Viele seien erst kürzlich implementiert worden, schreibt das Cyber-Security-Unternehmen in einem Blogbeitrag.
"Nach dem Patch haben wir einen starken Anstieg der Attacken gesehen und glauben, dass einige Angreifer mit Massenscans begonnen haben. Sie wollten wahrscheinlich so viele Server wie möglich kompromittieren, bevor die Patches auf den für sie interessantesten Mail-Servern installiert werden", erklärte Eset-Forscher Matthieu Faou gegenüber 'ZDnet'.
Palo Alto Networks schätzt, dass noch immer über 125'000 ungepatchte Exchange Server auf der Welt rumstehen. Zudem könnten auch gepatchte Systeme in Gefahr sein, da sie längst kompromittiert sein können. Laut Kaspersky gehört die Schweiz zu den 5 Ländern, die am häufigsten angegriffen worden sind, konkrete Opfer sind hierzulande  noch keine bekannt geworden.

Die Vorwürfe an Microsoft

Microsoft wird von verschiedenen Seiten vorgeworfen, nachlässig gehandelt zu haben: Demnach sollen erst externe Security-Experten die Lücken entdeckt haben – die erste bereits Anfang Dezember 2020, was sie Anfang Januar 2021 Microsoft meldeten. Also rund zwei Monat vor den Patches. In der Zwischenzeit soll Microsoft seine Kunden nicht gewarnt haben, wie etwa Security-Experte Brian Krebs konstatiert.
In einem Blogbeitrag schlägt Palo Alto nun vier Schritte vor: 1. Alle Exchange Server lokalisieren und bestimmen, ob sie gepatcht werden müssen. 2. Patchen und Sichern. 3. Prüfen, ob das System kompromittiert wurde. Microsoft hat dazu mittlerweile ein Tool veröffentlicht. 4. Bei Verdacht ein Incident-Response-Team hinzuziehen.

Loading

Mehr zum Thema

image

Cyberkriminelle stehlen schützenswerte Daten von Franz Carl Weber

Die Ransomware-Bande Black Basta behauptet, über 700 GB an Daten des Spielwaren-Händlers ergaunert zu haben. Darunter finden sich vor allem persönliche Daten von Angestellten. Das Mutterhaus bestätigt den Angriff.

publiziert am 1.3.2024 1
image

Zürcher Securosys stellt Sicherheits­modul für Post-Quantum-Welt vor

Das neue Hardware-Sicherheitsmodul (HSM) unterstützt aktuelle wie auch die neuen Quanten-sicheren Algorithmen und soll sich so für den hybriden Einsatz eignen.

publiziert am 1.3.2024
image

Podcast: Sind die Bemühungen gegen Ransomware-Banden aussichtslos?

Lockbit und Alphv wurden zerschlagen – und waren Tage danach wieder aktiv und drohen mit Vergeltung. Wir diskutieren, ob die Bemühungen gegen Ransomware aussichtslos sind.

publiziert am 1.3.2024
image

Ivanti-Backdoors können Factory-Resets überleben

Das bisherige Integrity-Checker-Tool von Ivanti konnte zudem manche Infektionen nicht finden, warnt die US-Sicherheitsbehörde Cisa.

publiziert am 1.3.2024