Hafnium: Spionage in Microsoft Exchange
Microsoft hat Patches für insgesamt vier hochkritische Sicherheitslücken bereitgestellt. Diese Lücken in Microsoft Exchange ermöglichen Cyberkriminellen den direkten Zugriff auf Unternehmensdaten – ohne Passwörter. G DATA CyberDefense empfiehlt: Installieren Sie die Patches unverzüglich.
Nach bisherigen Erkenntnissen nutzt zurzeit eine staatlich finanzierte Gruppe mit dem Namen HAFNIUM insgesamt vier bis dato ungepatchte Sicherheitslücken in Microsoft Exchange aus, um die interne Kommunikation von Unternehmen mitzulesen. Dies gelingt, weil die Angreifer sich gegenüber einem Client als Exchange-Server ausgaben. Im weiteren Verlauf konnten die Kriminellen Dateien auf dem Mailserver hinterlassen und so eine Hintertür installieren, die einen Zugriff auf den gesamten Datenbestand des Mailservers ermöglichte. Die Angreifer konnten auf diesem Weg die Inhalte von Adressverzeichnissen und ganze Mailpostfächer ausleiten.
Die Sicherheitslücken sind alle in der NVD aufgeführt:
Wer jetzt handeln muss
Von diesen kritischen Sicherheitslücken sind alle lokalen Installationen von Microsoft Exchange 2013, 2016 und 2019 betroffen. Microsoft hat bereits Updates für diese Versionen bereitgestellt und Unternehmen sollten diese umgehend installieren. Auch für Exchange 2010 SP3 sind Updates vorhanden, die verhindern, dass Angreifer die Lücken auf diesen Systemen ausnutzen.
Bereits am 8. März hat das Nationale Zentrum für Cybersicherheit, NSCS, eine Warnung für alle Schweizer Unternehmen veröffentlicht. Nehmen Sie die Warnung auf jeden Fall ernst! Für die Cloud-Versionen von Microsoft Exchange besteht derzeit kein Handlungsbedarf.
Wichtig ist, dass die IT-Administratoren die Systeme nicht nur aktualisieren, sondern auch überprüfen, ob Angreifer die Lücke schon genutzt haben und in das System eingedrungen sind. Denn die Patches schliessen zwar die Lücken, weist aber keine Angreifer in die Schranken, die bereits Zugriff haben. Sollten Angreifer mit Hilfe dieser Sicherheitslücken bereits eine Hintertür auf dem Server oder in den von dort zu erreichenden Systemen installiert haben, können sie dies auch noch Monate später beispielsweise für eine Erpressung nutzen. Unternehmen, die Hinweise auf einen Einbruch entdecken, sollten im nächsten Schritt sorgfältig prüfen, welche Teile des Netzes die Angreifer bereits kompromittiert haben. Hier sollten Unternehmen die Hilfe von Experten in Anspruch nehmen, um Spuren zu sichern und keine Beweise zu vernichten.
Zu Risiken und Nebenwirkungen
Wenn Angreifer wie HAFNIUM die Sicherheitslücken ausnutzen, können sie unter Umständen auf den gesamten internen E-Mail-Verkehr eines Unternehmens zugreifen. Weil eine dieser Lücken auch das Ablegen und Ausleiten von Dateien ermöglicht, können sich Kriminelle dauerhaft im Netzwerk festsetzen. In diesem Fall ist ein Zugriff mittels einer Web Shell zu jeder Zeit realistisch. Somit wären die Vertraulichkeit und Integrität von Mails nicht mehr gegeben. Darüber hinaus sind Angreifer in der Lage, Speicherabbilder laufender Prozesse zu erstellen und zu exfiltrieren. Diese Informationen können die kriminellen Hacker für ihre Zwecke missbrauchen. Um Informationen auszuleiten, laden sie zusätzliche Tools aus dem Internet nach – teilweise von Github. Zur Vorbereitung einer Datenausleitung legen die Kriminellen häufig Archivdateien in %ProgramData% ab, die dann später über eine Filesharing-Plattform an die Angreifer übermittelt werden.
Eine vollständige Liste der Indicators of Compromise ist auf der Internetseite von Microsoft einsehbar. Sicherheitsexperten schätzen, dass weltweit über hunderttausend Exchange-Server betroffen sind – Tendenz steigend.
HAFNIUM – Die APT-Gruppe
Nach bisherigen Erkenntnissen handelt es sich bei HAFNIUM um eine so genannte APT-Gruppe, die sehr wahrscheinlich im asiatischen Raum beheimatet ist. APT-Gruppen geniessen in den meisten Fällen staatliche Unterstützung und sind daher finanziell und personell extrem gut aufgestellt. Anders als im kriminellen Milieu müssen APT-Gruppen nicht unbedingt schnelle Ergebnisse vorlegen. Die Operationen von APT-Gruppen sind meist von langer Hand geplant und mitunter auf mehrere Jahre ausgelegt. Deren Ziele reichen vom blossen Informationsdiebstahl bis hin zur Manipulation von Daten und Prozessen, um dem Angriffsziel zu schaden. In aller Regel nehmen APT-Gruppen staatliche Stellen wie etwa bestimmte Behörden ins Visier, aber auch Unternehmen, die staatliche Stellen beliefern oder mit Dienstleistungen unterstützen. Aber auch Organisationen ausserhalb der Regierung können zum Ziel einer APT-Gruppe werden, vor allem wenn diese Organisationen an politischen Entscheidungen mittelbar oder unmittelbar Anteil haben. Dieses Muster ist auch bei HAFNIUM erkennbar.
Fazit: Es gibt eindeutige Anzeichen dafür, dass Angreifer die Lücken derzeit aktiv ausnutzen. Daher ergeht noch einmal der Appell an alle IT-Verantwortlichen in Unternehmen, die die oben beschriebenen Versionen von Microsoft Exchange einsetzen, installieren Sie schnellstmöglich die von Microsoft bereitgestellten Patches. Wer hier nicht umgehend handelt, reagiert fahrlässig und gefährdet die IT-Sicherheit des eigenen Unternehmens.