Exchange-Server-Lücken: 125'000 Server ungepatcht

11. März 2021, 13:15
  • security
  • breach
  • lücke
  • microsoft
  • eset
  • palo alto
image

Mittlerweile nutzen 10 Hackergruppen die bekannten Microsoft-Schwachstellen aus. Das jüngste Opfer ist das norwegische Parlament.

Nun hat es das norwegische Parlament erwischt: Am 10. März teilte es mit, dass Kriminelle über eine schwerwiegende Lücke in Microsofts Exchange Server in ihr System eingedrungen seien. Aufgefallen war dies dem Parlamentsdienst, der gezielt nach Angriffen auf Basis der bekannten Lücke gesucht hatte. Es seien Daten gestohlen worden, das Ausmass könne man aber noch nicht abschätzen, hiess es in der Mitteilung.
Für die vier Zero-Day-Lücken in Microsofts Exchange Server wurden von Microsoft am 2. März Not-Patches veröffentlicht. Die Schwachstellen waren bis dahin bereits von Hackern ausgenutzt worden. Nun teilt das Cyber-Security-Unternehmen Eset mit, dass mindestens zehn verschiedene Hackergruppen auf die Schwachstelle abzielen und das Internet danach scannen.
Die bekannteste davon heisst "Hafnium" und soll im Dienst der chinesischen Regierung arbeiten. Aus Norwegen heisst es, dass man die Attacke als "einen Angriff auf unsere Demokratie" werte. Das Parlament war bereits 2020 Opfer eines Hacks geworden, der damals Russland angelastet wurde.

Alarmstufe rot: Die Kriminellen beeilen sich

Nach wie vor herrscht wegen den Lücken in Microsoft Exchange Server "Bedrohungsstufe rot", wie sie etwa das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) ausgerufen hat. Die Anzahl der Opfer lässt sich noch kaum abschätzen, allein Eset hat nach eigenem Bekunden auf 5000 Servern in 115 Ländern bösartige Skripts festgestellt, die über die Schwachstellen eingeschleust wurden. Viele seien erst kürzlich implementiert worden, schreibt das Cyber-Security-Unternehmen in einem Blogbeitrag.
"Nach dem Patch haben wir einen starken Anstieg der Attacken gesehen und glauben, dass einige Angreifer mit Massenscans begonnen haben. Sie wollten wahrscheinlich so viele Server wie möglich kompromittieren, bevor die Patches auf den für sie interessantesten Mail-Servern installiert werden", erklärte Eset-Forscher Matthieu Faou gegenüber 'ZDnet'.
Palo Alto Networks schätzt, dass noch immer über 125'000 ungepatchte Exchange Server auf der Welt rumstehen. Zudem könnten auch gepatchte Systeme in Gefahr sein, da sie längst kompromittiert sein können. Laut Kaspersky gehört die Schweiz zu den 5 Ländern, die am häufigsten angegriffen worden sind, konkrete Opfer sind hierzulande  noch keine bekannt geworden.

Die Vorwürfe an Microsoft

Microsoft wird von verschiedenen Seiten vorgeworfen, nachlässig gehandelt zu haben: Demnach sollen erst externe Security-Experten die Lücken entdeckt haben – die erste bereits Anfang Dezember 2020, was sie Anfang Januar 2021 Microsoft meldeten. Also rund zwei Monat vor den Patches. In der Zwischenzeit soll Microsoft seine Kunden nicht gewarnt haben, wie etwa Security-Experte Brian Krebs konstatiert.
In einem Blogbeitrag schlägt Palo Alto nun vier Schritte vor: 1. Alle Exchange Server lokalisieren und bestimmen, ob sie gepatcht werden müssen. 2. Patchen und Sichern. 3. Prüfen, ob das System kompromittiert wurde. Microsoft hat dazu mittlerweile ein Tool veröffentlicht. 4. Bei Verdacht ein Incident-Response-Team hinzuziehen.

Loading

Mehr zum Thema

image

Cybersecurity bei EY

Mit dem Cybersecurity Team unterstützen wir bei EY unsere Kundinnen und Kunden bei der Risikominimierung von Cyberangriffen.

image

Microsoft hostet E-Mail-Adressen des Schweizer Parlaments

Die Datenhaltung in der Schweiz ist von Microsoft vertraglich zugesichert. Die Lizenzen kosten 600 Franken pro Ratsmitglied und Jahr.

publiziert am 6.10.2022 2
image

Cyberkriminelle veröffentlichen Daten von Läderach

Einen Monat nach dem Cyberangriff auf den Schweizer Chocolatier sind mehrere Datenpakete im Darknet aufgetaucht. Läderach erklärt uns, die Situation genau zu beobachten.

publiziert am 6.10.2022
image

Bruce Schneier: "Man wird nie sicher sein, dass E-Voting nicht manipuliert wurde"

Kryptographie-Guru Schneier war kürzlich in Zürich. Wir haben mit ihm über E-Voting, Cybersicherheit und die US-Zentralbank gesprochen.

publiziert am 6.10.2022 6