Angriffe auf on Premise Microsoft Exchange Server

Inhaltsverzeichnis

Als Angriff chinesischer Hacker unter dem Namen Hafnium begonnen, entwickelt sich ein internationales Bedrohungsrisiko für Nutzer von Microsoft Exchange. Nach der Veröffentlichung des Angriffsmusters durch Microsoft explodierte die Anzahl der Angreifer. Neben amerikanischen Unternehmen und Behörden kommt auch Europa in den Fokus der Hacker.

Internationales Bedrohungsrisiko nimmt zu

Ziel der Angriffe ist die Extraktion von Daten. Emails, Kontaktdaten sowie Firmeninterna sind die Beute. Dafür werden Schwachstellen des Exchange Servers genutzt um die Daten auf Filesharing Plattformen zu transferieren. Diese können nun von den Hackern weiter verwendet werden. Da primär ungepatchte Versionen des Exchange Servers interessant sind, betrifft dieser Angriff nach Aussagen des US Cybersecurity Experten Chris Krebs besonders kleinere Unternehmen, Behörden und Einrichtungen.

Immerhin positiv an diesen Angriffen: Nicht alle Hacks sind erfolgreich. Automatisiert oder chaotisch ausgeführt, treffen diese Angriffe auf unterschiedliche Level von Sicherheitsvorkehrungen. Interne Einstellungen können hier größeren Schaden verhindern. Dennoch gilt auch hier: besser einmal mehr Überprüfen und sichern als die Geschäftsgrundlage verlieren. Sollten Sie also einen Exchange Server im Einsatz haben empfehlen wir als erste Maßnahme die Überprüfung des Systems nach der von Microsoft veröffentlichten Anleitung.

Investitionen in Sicherheit fördern lassen?
Sprechen Sie uns an!​

Das Vorgehen der Hacker

Die am häufigsten verwendeten Sicherheitslücken betrafen Exchange und die Kontaktdaten sowie Adressdaten. Durch die Sicherheitslücke CVE-2021-26855 zur Simulation der authentifizierte Exchange Server zu sein als http Anfrage konnte Zugriff erlangt werden. Über einen Deserealisierungs – Exploit CVE-2021-26857 konnte nun Schadcode ausgeführt werden (zum Beispiel Webshells). Dadurch bestand die Möglichkeit Daten zu exportieren. Diese wurden über Datenschreibungs -Exploits (insbesondere CVE-2021-26858 und CVE-2021-27065) heraus geschrieben und kompressiert.

Noch Folgenschwerer allerdings waren Remote Zugriffstools welche installiert wurden und den Hackern am Ende Zugriff auf das gesamte Netzwerk verschaffen konnten. Das Program PowerCat kam hier wohl primär zum Einsatz.

Eine genaue Beschreibung als Veröffentlichung von Microsoft finden sie hier.

Welche Maßnahmen ergreifen?

Primär sollten Sie die neuesten Microsoft Sicherheitsupdates installieren. Auch Exchange ohne Support ist hierfür von Microsoft freigegeben.

Danach wie oben angesprochen überprüfen, ob Sie kompromittiert wurden.

Und Langfristig: Neue Techniken wie SIEM (Link zu unserem Partner) können diese Angriffe proaktiv sichtbar machen und ermöglichen auch ohne Sicherheitsupdates erste Gegenmaßnahmen. Zur Verhinderung einer erneuten Kompromittierung empfehlen wir eine Überprüfung der bestehenden Sicherheitsmaßnahmen und eine eventuelle Verstärkung selbiger. Gerne beraten wir Sie zu Möglichkeiten in diesem Bereich.

Beitrag teilen

Mehr erfahren