Microsoft Exchange Server von chinesischen Hackern bedroht

Das Microsoft Threat Intelligence Center (MSTIC) hat einen neuen staatlich unterstützten Bedrohungsakteur festgestellt, genannt Hafnium. Dieser operiert aus China und ist ein sehr versierter und hochentwickelter Akteur.  Obwohl Hafnium seinen Sitz in China hat, führt er seine Operationen hauptsächlich von gemieteten virtuellen privaten Servern (VPS) in den Vereinigten Staaten aus.

In jüngster Zeit hat Hafnium eine Reihe von Angriffen mit bisher unbekannten Exploits durchgeführt, die auf lokale Exchange Server-Software abzielen. Bislang ist Hafnium der Hauptakteur, der diese Exploits verwendet hat. Die Angriffe umfassen drei Schritte:

  1. Hafnium verschafft sich Zugang zu einem Exchange Server, entweder mit gestohlenen Passwörtern oder indem er zuvor unentdeckte Schwachstellen nutzt, um sich als jemand auszugeben, der oder die eigentlich Zugang haben sollte. Organisationen können sich davor schützen, indem sie vertrauenswürdige Verbindungen einschränken oder einen VPN einrichten, um den Exchange Server vom externen Zugriff zu trennen. Diese Maßnahmen können jedoch nur vor dem ersten Schritt eines Hafnium-Angriffs schützen. Die weiteren Angriffsschritte können ausgelöst werden, wenn ein Angreifer bereits Zugriff hat oder Administratoren dazu bringen kann, eine schädliche Datei auszuführen.

2.  Dann erstellt Hafnium eine sogenannte Web-Shell, um den kompromittierten Server aus der Ferne zu steuern.

3. Den Fernzugriff nutzt Hafnium – ausgeführt von den privaten Servern in den USA –, um Daten aus dem Netzwerk einer Organisation zu stehlen.

Microsoft hat Sicherheitsupdates veröffentlicht, mit denen Kunden geschützt werden sollen, die Exchange Server einsetzen. Die sofortige Installation der heutigen Patches ist der beste Schutz gegen diesen Angriff. Microsoft rät daher allen Exchange Server-Kunden, diese Updates sofort zu installieren. Die Exploits stehen in keinem Zusammenhang mit den Angriffen auf SolarWinds, von Microsoft als Solorigate bezeichnet.

Dazu kommentiert Satnam Narang, Staff Research Engineer bei Tenable: „Vier Zero-Day-Schwachstellen in Exchange Server wurden in freier Wildbahn von einer staatlich unterstützen Hackergruppe namens HAFNIUM ausgenutzt. Die Tatsache, dass Microsoft sich dazu entschlossen hat, diese Schwachstellen out-of-band zu patchen, anstatt sie als Teil der Patch Tuesday Release in der nächsten Woche aufzunehmen, deutet darauf hin, dass die Schwachstellen ziemlich schwerwiegend sind, auch wenn wir das volle Ausmaß dieser Angriffe nicht kennen. Während Microsoft erklärt, dass HAFNIUM in erster Linie auf Unternehmen in den USA abzielt, sagen andere Forscher, dass sie beobachtet haben, wie diese Schwachstellen von verschiedenen Kriminellen ausgenutzt werden, die auf andere Regionen abzielen.

Nach unseren bisherigen Erkenntnissen erfordert die Ausnutzung einer der vier Schwachstellen keinerlei Authentifizierung und kann zum Herunterladen von Nachrichten aus der Mailbox eines Zielbenutzers verwendet werden. Die anderen Schwachstellen können von einem entschlossenen Angreifer aneinandergereiht werden, um eine weitere Kompromittierung des Netzwerks der Zielorganisation zu ermöglichen. Wir gehen davon aus, dass andere Kriminelle diese Schwachstellen in den kommenden Tagen und Wochen ausnutzen werden. Deshalb ist es für Unternehmen, die Exchange Server verwenden, von entscheidender Bedeutung, diese Patches sofort anzuwenden.“

ANZEIGE

So reagieren Sie auf die gestiegene Nachfrage von Online-Videos – Wichtige Erkenntnisse und Trends

Der von zahlreichen Ländern wegen der Coronakrise eingeführte Lockdown und die damit verbundene soziale Distanzierung haben neue Rekorde im Online-Videoverkehr gebracht. Erfahren Sie in diesem Webinar, wie Sie Daten untersuchen und quantifizieren, um die Belastung von Netzwerken und CDNs einzuschätzen.

ZDNet.de Redaktion

Recent Posts

SmokeBuster bekämpft SmokeLoader

Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.

48 Minuten ago

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

17 Stunden ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

21 Stunden ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

21 Stunden ago

Lags beim Online-Gaming? DSL-Vergleich und andere Tipps schaffen Abhilfe

Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…

22 Stunden ago

GenKI-Fortbildung immer noch Mangelware

Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…

22 Stunden ago