FM4-Logo

jetzt live:

Aktueller Musiktitel:

Person zeigt mit einem Finger auf eine E-Mail

CC0

erich moechel

Warnung vor zweiter Angriffswelle auf Microѕoft-Exchange

In Österreich standen am Mittwoch immer noch 1.900 Exchange-Server sperrangelweit offen. Gefahr geht weniger von den ursprünglichen, staatlichen Akteuren, sondern von den „technischen Dienstleistern“ der Verschlüsselungserpresser aus.

Von Erich Moechel

Die rollenden Attacken auf die vor einer Woche bekannt gewordenen Sicherheitslücken in Microsofts Exchange-Servern folgen einem gefährlichen Trend, der sich seit Monaten abzeichnet. Staatliche Akteure nützen unbekannte Sicherheitslücken erst zur gezielten Spionage aus und, sobald die Lücke bekannt ist, wird daraus ein digitales „Flächenbombardement“.

Inzwischen wird schon von 100.000 kompromittierten Mail-Servern weltweit ausgegangen. Das nationale Computer-Notfallteam CERT.at rechnet damit, dass durch diese automatisierten Angriffe hierzulande bereits alle im Internet sichtbaren Exchange-Server betroffen sind. Die eigentliche Gefahr für heimische Unternehmen geht laut CERT.at jedoch von einer zweiten Angriffswelle ganz anderer Akteure aus. Am Mittwoch gingen Warnungen an die Betreiber von 1.900 noch ungeschützten Exchange-Systemen in Österreich hinaus.

Text

BSI

Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) hat am Dienstag begonnen, die Betreiber gefährdeter Systeme direkt zu kontaktieren. Potentiell sind das um die 26.000 Server in Deutschland, wo Microsoft-Exchange besonders verbreitet ist. Mit diesen Tools von Microsoft lassen sich Exchange-Server auf Verwundbarkeit testen.

Das Wettrennen ist aktuell im Gang

Acht Monate nach dem Auffliegen ähnlich schwerer Sicherheitslücken waren im Oktober 2020 noch immer 3.000 Exchange-Server in Österreich ohne Sicherheitsupdate.

„Seit einer Woche sehen wir massenweise Scans nach Exchange-Servern quer über alle österreichischen Domains“, sagt Otmar Lendl von CERT.at zu ORF.at, „daher ist anzunehmen, dass sie von diesem automatisierten Angriff betroffen sind.“ Mit der Veröffentlichung der Patches letzte Woche habe ein Wettrennen zwischen den Angreifern und den Systembetreuern begonnen: „Die einen versuchen, noch möglichst schnell viele Exchange-Server mit Hintertüren zu versehen, während die anderen teils mit Nachtschichten genau das zu verhindern versuchen.“ Am Mittwochnachmittag waren noch immer 1.900 Exchange-Server ungeschützt auf österreichischen Domains im Netz.

Viele dieser Exchange-Server sind durch die flächendeckenden Angriffe der mutmaßlich chinesischen Akteure zwar kompromittiert, das heißt, sie wurden mit Hintertüren oder vergleichbarer Schadsoftware versehen und damit auf einen Angriff vorbereitet. Es ist aber kaum davon auszugehen, dass eine hochkarätige Cyberspionagetruppe aus China ihre Zeit damit verschwenden wird, um österreichische Magistrate, Werbeagenturen oder Sportvereine auszuspionieren. Wie immer nach dem Bekanntwerden von schweren Sicherheitslücken beginnt sich nun die immer gleiche Eskalationsspirale zu drehen. Am Anfang steht sogenannte „Proof of Concept“-Schadsoftware, die von Sicherheitsforschern veröffentlicht wird. Durch dieses „Crowdsourcing“ wird versucht, die Angriffsmöglichkeiten zu Abwehrzwecken möglichst schnell auszuloten. In dieser Phase sind die technischen Kollaborateure von Kriminellen ebenfalls schon dabei, Methoden auszuhecken, um auf diesen Servern ihre eigene Malware zu platzieren. Diese Phase ist genau jetzt.

Text

HiSolutions

Diese Grafik zeigt, welche Microsoft-Services mit den Exchange-Servern zusammenspielen. Die deutsche IT-Sicherheitsfirma HiSolutions verteilt ihren Leitfaden zur schnellen Eindämmung der Bedrohung aufgrund der Gefährlichkeit der Schwachstelle kostenfrei.

Das Problem mit den Sicherheitsupdates

Ende September hatten Verschlüsselungserpresser die Uhrenmacher Swatch Group, eine französische Großreederei, einen US-Spitalsbetreiber mit 400 Kliniken und einen Versicherungsbroker erwischt.

Die wohl größte Gefahr geht davon aus, dass Exchange-Server standardmäßig über weitgehende Rechte in Microsofts Active Directory verfügen, zudem sind in der Regel eine Anzahl anderer Services wie Instant Messaging usw. eingebunden. Damit ist es hochwahrscheinlich, dass Angreifer von Exchange aus ziemlich problemlos das gesamte Netz hinter diesen Mailservern übernehmen können. Da Microsoft aufgrund der Gefährlichkeit der Schwachstelle kein kumulatives, sondern ein einzelnes, vorgezogenes Sicherheits-Update veröffentlicht hat, kann dieser Patch nur eingespielt werden, wenn die Systeme bis dahin auf dem letzten Stand gehalten wurden.

Das ist bei sehr vielen solchen Systemen - nicht nur in Österreich - schlichtweg nicht der Fall. Wer sich jetzt noch auf dem Stand etwa des Jahres 2020 befinde, für den werde es zunehmend komplexer, diese Updates nacheinander manuell einzuspielen", sagt Otmar Lendl. Je mehr weitere Microsoft-Services eingebunden seien, desto komplexer werde es, und eben das spiele potentiellen Angreifern in die Hände. Die überwiegende Mehrheit dabei werden die „technischen Dienstleister“ von Verschlüsselungserpressern sein, die versuchen, ihre eigenen Hintertüren einzubauen. Nicht wenige der befallenen Mailserver „verfügen“ dann neben der serienmäßig installierten Backdoor für die ursprünglichen, staatlich-chinesischen Akteure dann eben über zwei, und es könnten noch mehr werden. Wie die tschechische Sicherheitsfirma Eset am Montag meldete, seien auch weitere staatliche Akteure bereits auf diesen gefährdeten Servern beobachtet worden.

(Un)auffällige Parallen zu SolarWinds

Der ursprüngliche Attacke einer weniger bekannten Spionagetruppe, die Microsoft „Hafnium“ nennt und die allgemein China zugeordnet wird, hat mit den Angreifern auf die Netzwerk-Kontrollsysteme von Solarwinds im Dezember technisch rein überhaupt nichts gemein. Sowohl die Vorgangsweise wie die verwendeten Methoden sind völlig unterschiedlich, auffällige strukturelle Parallen fallen erst auf einer höheren Abstraktionsebene ins Auge. In beiden Fällen hatten einschlägig auf Cyberspionage spezialisierte staatliche Akteure nicht nur die übliche Zahl von höchstens ein, zwei Dutzend Zielen kompromittiert, die dann auch alle tatsächlich angegriffen wurden.

Die Angriffe auf die Solarwinds-Systeme und in Folge auf deren Kunden Microsoft hatten kurz vor Weihnachten begonnen und waren Woche für Woche weiter eskaliert.

Bei Solarwinds wurde in Folge des Angriffs - er wird dem russischen APT29 zugeschrieben - verseuchte Software an 18.000 Großkunden ausgeliefert, die mithin die größten Netze (nicht nur) in den USA betreiben. Im aktuellen Fall der Hafnium-Akteure werden alle Exchange-Server verseucht, die - wo auch іmmer - ohne Patches laufen. Es wurden also um einige Zehnerpotenzen mehr Ziele verseucht, als überhaupt angegriffen werden können. Dadurch wird erstens gezielt Verunsicherung verbreitet und zweitens werden sozusagen Optionsscheine für weitere Angriffe gezogen, weil ein bestimmter Prozentsatz dieser 100.000 Backdoors unentdeckt bleiben wird.

Es gibt wieder einen RSS-Feed für diesen Blog. Sachdienliche Informationen, Metakritiken et al. sind über dieses Formular verschlüsselt und anonym beim Autor einzuwerfen. Wer eine Antwort will, gebe tunlichst eine Kontaktmöglichkeit an.

Aktuell: