Microsoft Exchange Server von chinesischen Hackern bedroht

Das Microsoft Threat Intelligence Center (MSTIC) hat einen neuen staatlich unterstützten Bedrohungsakteur festgestellt, genannt Hafnium. Dieser operiert aus China und ist ein sehr versierter und hochentwickelter Akteur.  Obwohl Hafnium seinen Sitz in China hat, führt er seine Operationen hauptsächlich von gemieteten virtuellen privaten Servern (VPS) in den Vereinigten Staaten aus.

In jüngster Zeit hat Hafnium eine Reihe von Angriffen mit bisher unbekannten Exploits durchgeführt, die auf lokale Exchange Server-Software abzielen. Bislang ist Hafnium der Hauptakteur, der diese Exploits verwendet hat. Die Angriffe umfassen drei Schritte:

1. Hafnium verschafft sich Zugang zu einem Exchange Server, entweder mit gestohlenen Passwörtern oder indem er zuvor unentdeckte Schwachstellen nutzt, um sich als jemand auszugeben, der oder die eigentlich Zugang haben sollte. Organisationen können sich davor schützen, indem sie vertrauenswürdige Verbindungen einschränken oder einen VPN einrichten, um den Exchange Server vom externen Zugriff zu trennen. Diese Maßnahmen können jedoch nur vor dem ersten Schritt eines Hafnium-Angriffs schützen. Die weiteren Angriffsschritte können ausgelöst werden, wenn ein Angreifer bereits Zugriff hat oder Administratoren dazu bringen kann, eine schädliche Datei auszuführen.

2.  Dann erstellt Hafnium eine sogenannte Web-Shell, um den kompromittierten Server aus der Ferne zu steuern.

3. Den Fernzugriff nutzt Hafnium – ausgeführt von den privaten Servern in den USA –, um Daten aus dem Netzwerk einer Organisation zu stehlen.

Microsoft hat Sicherheitsupdates veröffentlicht, mit denen Kunden geschützt werden sollen, die Exchange Server einsetzen. Die sofortige Installation der heutigen Patches ist der beste Schutz gegen diesen Angriff. Microsoft rät daher allen Exchange Server-Kunden, diese Updates sofort zu installieren. Die Exploits stehen in keinem Zusammenhang mit den Angriffen auf SolarWinds, von Microsoft als Solorigate bezeichnet.

Dazu kommentiert Satnam Narang, Staff Research Engineer bei Tenable: „Vier Zero-Day-Schwachstellen in Exchange Server wurden in freier Wildbahn von einer staatlich unterstützen Hackergruppe namens HAFNIUM ausgenutzt. Die Tatsache, dass Microsoft sich dazu entschlossen hat, diese Schwachstellen out-of-band zu patchen, anstatt sie als Teil der Patch Tuesday Release in der nächsten Woche aufzunehmen, deutet darauf hin, dass die Schwachstellen ziemlich schwerwiegend sind, auch wenn wir das volle Ausmaß dieser Angriffe nicht kennen. Während Microsoft erklärt, dass HAFNIUM in erster Linie auf Unternehmen in den USA abzielt, sagen andere Forscher, dass sie beobachtet haben, wie diese Schwachstellen von verschiedenen Kriminellen ausgenutzt werden, die auf andere Regionen abzielen.

Nach unseren bisherigen Erkenntnissen erfordert die Ausnutzung einer der vier Schwachstellen keinerlei Authentifizierung und kann zum Herunterladen von Nachrichten aus der Mailbox eines Zielbenutzers verwendet werden. Die anderen Schwachstellen können von einem entschlossenen Angreifer aneinandergereiht werden, um eine weitere Kompromittierung des Netzwerks der Zielorganisation zu ermöglichen. Wir gehen davon aus, dass andere Kriminelle diese Schwachstellen in den kommenden Tagen und Wochen ausnutzen werden. Deshalb ist es für Unternehmen, die Exchange Server verwenden, von entscheidender Bedeutung, diese Patches sofort anzuwenden.“