Zero-Day-Lücken im Exchange-Server: Die Angriffe mehren sich

8. März 2021 um 16:28
image

Schweizer Unternehmen gehören zu den Lieblings-Zielen der Hacker. Auch das Nationale Zentrum für Cybersicherheit warnt eindringlich.

Obwohl Microsoft schon am 2. März 2021 Not-Patches für vier gefährliche Schwachstellen im Exchange Server verfügbar gemacht hat, werden sie weiter ausgenutzt. Soeben hat Kaspersky mitgeteilt, man habe seit Anfang März "verwandte Angriffe bei über 1200 Nutzern entdeckt, wobei diese Zahl kontinuierlich zunimmt". Betroffen seien demnach über hundert Ländern, wobei die Schweiz zu den Top-5 der angegriffenen Länder gehöre. Die grösste Anzahl Betroffener hat Kaspersky in Deutschland gezählt (26,93%), 9% stammen aus Italien, 5,7% aus Österreich, 4,8% aus der Schweiz und 4,7% aus den USA.
Wie Microsoft befürchtet hat, bestätigt Kaspersky nun, dass "die Versuche, diese Sicherheitslücken auszunutzen, rasch zunehmen". Zwar seien die ersten Angriffe zielgerichtet gewesen, doch es gebe keinen Grund für die Akteure, ihr Glück nicht bei jeder Organisation zu versuchen, die einen anfälligen Server betreibt, warnen die Sicherheitsexperten weiter. Die Angriffe seien "mit einem hohen Risiko für Datendiebstahl und Ransomware-Attacken verbunden". Es sollten so schnell wie möglich Schutzmassnahmen ergriffen werden.
Microsoft hatte die Hackergruppe "Hafnium" genannt, die wahrscheinlich im Auftrag der chinesischen Regierung arbeite. Peking bestreitet hingegen jede Beteiligung. Schon bei der Veröffentlichung der Patches warnte Microsoft, dass schnell weitere Hacker versuchen würden, noch ungepatchte Exchange-Server zu knacken. Die vier Lücken tragen die Nummern CVE-2021-26857, CVE-2021-26855, CVE-2021-26858 und CVE-2021-27065 und sollten schnellstens geschlossen werden.
'BleepingComputer' hat inzwischen auf Microsofts Github-Repository 'CSS-Exchange' hingewiesen. Dort steht ein PowerShell-Skript bereit, das einen oder mehrere Exchange-Server auf Spuren untersucht, die ein erfolgreicher Angriff hinterlässt. Wie 'Heise' erklärt, sucht das PS-Skript Test-ProxyLogon.ps1 nach Angriffsmerkmalen, die für ProxyLogon typisch sind. Microsoft hatte die Details dazu bereits in einem Blogpost veröffentlicht, dieses Skript fasst die manuellen Tests jedoch zusammen und macht es Administratoren einfacher, ihre Exchange-Server zu prüfen.

Schweiz klärt auf, US-Regierung spricht von "aktiver Bedrohung"

Als wie schwergewichtig die Angriffe eingestuft werden, zeigen Reaktionen in der Schweiz beim NCSC, den USA, Deutschland und ersten EU-Behörden.
So teilt auf Anfrage das NCSC (Nationales Zentrum für Cybersicherheit, vormals Melani) mit, bereits eine Informationskampagne gefahren zu haben. Laut Gisela Kipfer, Pressesprecherin des beim EFD angesiedelten NCSC, habe man "sämtliche Betreiber der kritischen Infrastrukturen in der Schweiz, zu welchen auch Behörden zählen, zusätzlich informiert (Microsoft hat alle ihre Kunden über die Sicherheitslücke informiert) und auf die Dringlichkeit hingewiesen, die von Microsoft verfügbaren Patches so schnell wie möglich einzuspielen". Zudem informiere das NCSC auch auf seiner Website und fordert zum umgehenden Einspielen der Patches auf den von der Sicherheitslücke betroffenen Systemen auf, so Kipfer weiter.
Nicht anders sieht es in den USA aus. Dort hat am Wochenende das Weisse Haus Netzwerkbetreiber aufgefordert, zu untersuchen, ob ihre Systeme angegriffen wurden. Wie die Nachrichtenagentur 'Reuters' berichtet, geht man in Washington von einer "aktiven Bedrohung aus, die sich immer noch entwickelt" und sehr ernst zu nehmen ist.
"Wir können nicht genug betonen, dass Patches und Schadensbegrenzung keine Abhilfe schaffen, wenn die Server bereits kompromittiert wurden, und es ist wichtig, dass jede Organisation mit einem anfälligen Server Massnahmen ergreift, um festzustellen, ob sie bereits angegriffen wurde", sagte ein nicht namentlich genannter Beamter des Weissen Hauses. Laut einer weiteren, ebenfalls nicht genannten Quelle seien bereits mehr als 20'000 US-Organisationen durch den Hack kompromittiert worden. Jedoch hätten weder Microsoft noch das Weisse Haus Angaben zum Ausmaß des Hacks gemacht, so 'Reuters'.

"Mit hoher Wahrscheinlichkeit mit Schadsoftware infiziert"

Beim deutschen Bundesamt für Sicherheit in der Informationstechnik (BSI) mahnt man bereits vor einem IT-Security-Fiasko, wie 'Heise' schreibt. Zehntausende Rechner seien allein in Deutschland "mit hoher Wahrscheinlichkeit bereits mit Schadsoftware infiziert", so das BSI anhand von Zahlen der aufs Internet der Dinge spezialisierten Suchmaschine Shodan. Die Geschäftsführungen von mehr als 9000 potenziell betroffenen mittelständischen Unternehmen seien bereits kontaktiert worden. Die tatsächliche Anzahl verwundbarer Systeme in Deutschland schätzt die Behörde deutlich höher ein.
Auf Europa-Ebene hat besonders die Europäische Bankenaufsicht zu leiden. Dort teilte man am gestrigen Sonntag mit, wegen eines Angriffs das E-Mail-System vom Netz genommen zu haben. Aktuell heisst es, dass man zur Abwehr von Hackerangriffen die Sicherheitsmassnahmen verstärkt habe. Zudem untersuche man die bisherigen Angriffe weiter. Hinweise auf einen Datenabfluss existierten bislang aber nicht.

Loading

Mehr zum Thema

image

Women in Cyber und SANS Institute wollen "Women in Cyber Talent Academy" gründen

Damit das Trainingsinstitut für Security-Quereinsteigerinnen im Herbst loslegen kann, müssen aber noch finanzielle Partner einsteigen.

publiziert am 5.2.2025
image

Report: Deepseek ist anfällig für Manipulationen

Eine Untersuchung von Cisco zeigt, dass beim Modell "Deepseek R1" die Leitplanken einfach umgangen werden können. Das ist aber auch bei anderen der Fall.

publiziert am 5.2.2025
image

Daten von Swissmem-Ausgleichskasse gestohlen

Die Ausgleichskasse des Verbandes der Schweizer Maschinen-, Elektro- und Metallindustrie wurde gehackt. Die Angreifer haben Server und Daten verschlüsselt.

publiziert am 4.2.2025
image

Kanton Zürich sucht Security-Expertise

Ein Expertenpool soll das Amt für Informatik bei der Umsetzung der Informations­sicherheitsrichtlinien unterstützen. Es geht um bis zu 7000 Arbeitstage.

publiziert am 4.2.2025