Das Microsoft Threat Intelligence Center (MSTIC) hat einen neuen staatlich unterstützten Bedrohungsakteur festgestellt, genannt Hafnium. Dieser operiert aus China und ist ein sehr versierter und hochentwickelter Akteur. Obwohl Hafnium seinen Sitz in China hat, führt er seine Operationen hauptsächlich von gemieteten virtuellen privaten Servern (VPS) in den Vereinigten Staaten aus.
In jüngster Zeit hat Hafnium eine Reihe von Angriffen mit bisher unbekannten Exploits durchgeführt, die auf lokale Exchange Server-Software abzielen. Bislang ist Hafnium der Hauptakteur, der diese Exploits verwendet hat. Die Angriffe umfassen drei Schritte:
2. Dann erstellt Hafnium eine sogenannte Web-Shell, um den kompromittierten Server aus der Ferne zu steuern.
3. Den Fernzugriff nutzt Hafnium – ausgeführt von den privaten Servern in den USA –, um Daten aus dem Netzwerk einer Organisation zu stehlen.
Microsoft hat Sicherheitsupdates veröffentlicht, mit denen Kunden geschützt werden sollen, die Exchange Server einsetzen. Die sofortige Installation der heutigen Patches ist der beste Schutz gegen diesen Angriff. Microsoft rät daher allen Exchange Server-Kunden, diese Updates sofort zu installieren. Die Exploits stehen in keinem Zusammenhang mit den Angriffen auf SolarWinds, von Microsoft als Solorigate bezeichnet.
Dazu kommentiert Satnam Narang, Staff Research Engineer bei Tenable: „Vier Zero-Day-Schwachstellen in Exchange Server wurden in freier Wildbahn von einer staatlich unterstützen Hackergruppe namens HAFNIUM ausgenutzt. Die Tatsache, dass Microsoft sich dazu entschlossen hat, diese Schwachstellen out-of-band zu patchen, anstatt sie als Teil der Patch Tuesday Release in der nächsten Woche aufzunehmen, deutet darauf hin, dass die Schwachstellen ziemlich schwerwiegend sind, auch wenn wir das volle Ausmaß dieser Angriffe nicht kennen. Während Microsoft erklärt, dass HAFNIUM in erster Linie auf Unternehmen in den USA abzielt, sagen andere Forscher, dass sie beobachtet haben, wie diese Schwachstellen von verschiedenen Kriminellen ausgenutzt werden, die auf andere Regionen abzielen.
Nach unseren bisherigen Erkenntnissen erfordert die Ausnutzung einer der vier Schwachstellen keinerlei Authentifizierung und kann zum Herunterladen von Nachrichten aus der Mailbox eines Zielbenutzers verwendet werden. Die anderen Schwachstellen können von einem entschlossenen Angreifer aneinandergereiht werden, um eine weitere Kompromittierung des Netzwerks der Zielorganisation zu ermöglichen. Wir gehen davon aus, dass andere Kriminelle diese Schwachstellen in den kommenden Tagen und Wochen ausnutzen werden. Deshalb ist es für Unternehmen, die Exchange Server verwenden, von entscheidender Bedeutung, diese Patches sofort anzuwenden.“
Der von zahlreichen Ländern wegen der Coronakrise eingeführte Lockdown und die damit verbundene soziale Distanzierung haben neue Rekorde im Online-Videoverkehr gebracht. Erfahren Sie in diesem Webinar, wie Sie Daten untersuchen und quantifizieren, um die Belastung von Netzwerken und CDNs einzuschätzen.
Unternehmen räumen der Entwicklung technischer und digitaler Führungskompetenzen ein zu geringe Priorität ein. Gartner fordert…
Betroffen sind Android 12, 13, 14 und 15. Google sind zielgerichtete Angriffe auf die beiden…
Schadprogramm der pakistanischen Hackergruppe APT36 weitet seine Aktivitäten aus und verbessert seine Techniken.
Tenable vergibt für beide Schwachstellen einen CVSS-Basis-Score von 9,8. Zwei Use-after-free-Bugs erlauben möglicherweise das Einschleusen…
Erstmals liegen Preise für Verbraucher vor. Sie zahlen weniger als Geschäftskunden. Dafür beschränkt Microsoft den…
Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…