Angriffe auf on Premise Microsoft Exchange Server

Angriffe auf on Premise Microsoft Exchange Server 1

Inhaltsverzeichnis

Internationales Bedrohungsrisiko nimmt zu

Als Angriff chinesischer Hacker unter dem Namen Hafnium begonnen, entwickelt sich ein internationales Bedrohungsrisiko für Nutzer von Microsoft Exchange.

Nach der Veröffentlichung des Angriffsmusters durch Microsoft explodierte die Anzahl der Angreifer. Neben amerikanischen Unternehmen und Behörden kommt auch Europa in den Fokus der Hacker.

Ziel der Angriffe ist die Extraktion von Daten. Emails, Kontaktdaten sowie Firmeninterna sind die Beute. Dafür werden Schwachstellen des Exchange Servers genutzt um die Daten auf Filesharing Plattformen zu transferieren. Diese können nun von den Hackern weiter verwendet werden. Da primär ungepatchte Versionen des Exchange Servers interessant sind, betrifft dieser Angriff nach Aussagen des US Cybersecurity Experten Chris Krebs besonders kleinere Unternehmen, Behörden und Einrichtungen.

Immerhin positiv an diesen Angriffen: Nicht alle Hacks sind erfolgreich. Automatisiert oder chaotisch ausgeführt, treffen diese Angriffe auf unterschiedliche Level von Sicherheitsvorkehrungen. Interne Einstellungen können hier größeren Schaden verhindern. Dennoch gilt auch hier: besser einmal mehr Überprüfen und sichern als die Geschäftsgrundlage verlieren. Sollten Sie also einen Exchange Server im Einsatz haben empfehlen wir als erste Maßnahme die Überprüfung des Systems nach der von Microsoft veröffentlichten Anleitung.

Investitionen in Sicherheit fördern lassen?
Sprechen Sie uns an!​

Das Vorgehen der Hacker

Die am häufigsten verwendeten Sicherheitslücken betrafen Exchange und die Kontaktdaten sowie Adressdaten. Durch die Sicherheitslücke CVE-2021-26855 zur Simulation der authentifizierte Exchange Server zu sein als http Anfrage konnte Zugriff erlangt werden. Über einen Deserealisierungs – Exploit CVE-2021-26857 konnte nun Schadcode ausgeführt werden (zum Beispiel Webshells). Dadurch bestand die Möglichkeit Daten zu exportieren. Diese wurden über Datenschreibungs -Exploits (insbesondere CVE-2021-26858 und CVE-2021-27065) heraus geschrieben und kompressiert.

Noch Folgenschwerer allerdings waren Remote Zugriffstools welche installiert wurden und den Hackern am Ende Zugriff auf das gesamte Netzwerk verschaffen konnten. Das Program PowerCat kam hier wohl primär zum Einsatz.

Eine genaue Beschreibung als Veröffentlichung von Microsoft finden sie hier.

 

Welche Maßnahmen ergreifen?

Primär sollten Sie die neuesten Microsoft Sicherheitsupdates installieren. Auch Exchange ohne Support ist hierfür von Microsoft freigegeben.

Danach wie oben angesprochen überprüfen, ob Sie kompromittiert wurden.

Und Langfristig: Neue Techniken wie SIEM (Link zu unserem Partner) können diese Angriffe proaktiv sichtbar machen und ermöglichen auch ohne Sicherheitsupdates erste Gegenmaßnahmen. Zur Verhinderung einer erneuten Kompromittierung empfehlen wir eine Überprüfung der bestehenden Sicherheitsmaßnahmen und eine eventuelle Verstärkung selbiger. Gerne beraten wir Sie zu Möglichkeiten in diesem Bereich.

Beitrag teilen

Teilen auf linkedin
Teilen auf xing
Teilen auf email
Teilen auf print

Mehr erfahren

EES ist Gründungsmitglied des Optimierungsnetzwerks

Die EES ist Teil des Optimierungsnetzwerkes

Inhaltsverzeichnis Erfahrene Unternehmen im Beratungsverbund Mit dem Optimierungsnetzwerk haben sich mehrere erfahrene Unternehmen zu einem Beratungsverbund zusammengeschlossen. Spezialistenwissen aus Unternehmens- und Gründungsberatung,  Energieberatung,  Produktkonzeption und

Weiterlesen »