Sicherheitslücken bei Microsoft Exchange Server ermöglichen gigantische Hacker-Kampagne

Microsoft stellt Patches zum Schließen der Sicherheitslücken von Exchange Server bereit. Vier dieser Schwachstellen werden bereits aktiv von Hackergruppen für gezielte Angriffe ausgenutzt, daher ist es ratsam, die Patches so schnell wie möglich zu installieren.

Die Sicherheitsrisiken

Vier der Sicherheitslücken werden bereits von Hackern verwendet, um Angriffe durchzuführen, die insgesamt drei Schritte umfassen: Zuerst verschaffen sich die Angreifer Zugang zu einem Exchange Server. Dann wird eine sogenannte Web-Shell erstellt, um den kompromittierten Server aus der Ferne zu steuern. Dieser Fernzugriff ermöglicht es den Hackern die Daten aus dem Netzwerk der Opfer zu stehlen. Hier handelt es sich um folgende Sicherheitslücken:

• CVE-2021-26855wird für serverseitige Anforderungsfälschung (SSRF) genutzt und ermöglicht die Remotecodeausführung.
• Mit CVE-2021-26857 kann beliebiger Code auf dem Server als System ausgeführt werden (hierfür sind allerdings Administratorenrechte oder der Exploit der vorherigen Schwachstelle erforderlich).
• CVE-2021-26858 und CVE-2021-27065 sind Schwachstellen, mit denen – nach der Authentisierung – beliebige Dateien auf dem Exchange-Server überschrieben werden können.

Cyberkriminelle kombinieren die vier Sicherheitslücken miteinander. Microsoft teilte mit, dass in manchen Fällen statt der ersten Schwachstelle CVE-2021-26855, gestohlene Zugangsdaten zur Authentifizierung auf dem Server verwendet werden.

Mit den bereitgestellten Patches wurden auch weitere Sicherheitslücken behoben, die – soweit bisher bekannt ist – noch nicht für gezielte Angriffe verwendet werden.

Wer ist in Gefahr?

Die Schwachstellen betreffen nur die Server, die in der Infrastruktur implementiert sind – die Cloud-Version von Exchange wurde verschont. Microsoft hat Updates bereitgestellt für Microsoft Exchange Server 2013, Microsoft Exchange Server 2016 und Microsoft Exchange Server 2019. Aufgrund der schwerwiegenden Folgen der Exploits wurde selbst für Exchange Server 2010 ein wichtiges Sicherheitsupdate veröffentlicht, obwohl Microsoft den Support für diese Version bereits beendet hatte.

Laut Forschern von Microsoft wurden die Schwachstellen von Hackern der Hafnium-Gruppe ausgenutzt, um vertrauliche Informationen zu stehlen. Zu den Angriffszielen der Gruppe zählen US-amerikanische Industrieunternehmen, Wissenschaftler die in der Infektionsforschung tätig sind, Kanzleien, gemeinnützige Organisationen und politische Analysten. Die genaue Anzahl an Opfer ist nicht bekannt, aber laut den Quellen von KrebsOnSecurity sind in den USA mindestens 30.000 Organisationen von den Angriffen betroffen, einschließlich kleine Unternehmen, Stadtverwaltungen und Bezirksregierungen. Unsere Experten haben festgestellt, dass nicht nur US-amerikanische Organisationen in Gefahr sind – inzwischen werden diese Sicherheitslücken von Kriminellen rund um den Globus ausgenutzt. Im Blogbeitrag auf unserer Cybersicherheitsseite Securelist finden Sie detaillierte Informationen zu der aktuellen, weltweiten Cyberbedrohungslage.

So schützen Sie sich vor Angriffen auf den Microsoft Exchange Server

• Installieren Sie umgehend den Patch für Microsoft Exchange Server. Sollte es unmöglich sein, die Updates zu installieren, empfiehlt Microsoft einige Workarounds.
• Laut Microsoft kann die erste Phase des Angriffs gestoppt werden, indem der Aufbau nicht-vertrauenswürdiger Verbindungen auf Port 443 nicht zugelassen oder allgemein die Verbindungen von außerhalb des Unternehmensnetzwerkes eingeschränkt wird. Aber das ist keine Lösung, wenn die Hacker bereits in das Netzwerk eingedrungen sind oder es schaffen, über einen Benutzer mit Administratorenrechten, eine schädliche Datei auszuführen.
• Eine Lösung mit Endpoint Detection and Response (EDR) oder ein externer EDR-Experte können diese Art von Bedrohungen und bösartigem Verhalten erkennen.
• Beachten Sie, dass jeder Computer, der mit dem Internet verbunden ist, egal ob es sich um einen Server oder einen Mitarbeiter-Computer handelt, mit einer zuverlässiges Endpoint-Sicherheitslösung geschützt werden sollte, um Exploits und bösartiges Verhalten proaktiv zu entdecken.