Originalartikel von Trend Micro
Cyber-Spionage-Kampagnen in der Größenordnung der aktuellen Vorgänge um Microsoft Exchange Server sind selten. Vier Sicherheitslücken wurden laut Microsoft von einer staatlich unterstützten Bedrohungsgruppe mit Verbindungen nach China ausgenutzt. Mindestens 30.000 US-Unternehmen sind mutmaßlich betroffen. In Deutschland sind es laut BSI-Warnung zehntausende Server. Die Sicherheitsforscher von Trend Micro fanden bei ihrer neuesten Recherche auf Shodan immer noch etwa 63.000 exponierte Server, die über diese Exploits angreifbar sind. Das Einspielen der verfügbaren Patches sollte oberste Priorität haben. Ist das nicht möglich, müssen alle anfälligen Server vom Netz genommen werden. Auch muss zum jetzigen Zeitpunkt jeder, der einen Exchange-Server betreibt, Nachforschungen anstellen, um nach Anzeichen einer Kompromittierung zu suchen. Trend Micro unterstützt alle Empfehlungen von Microsoft und anderen und hat zusätzlich Erkenntnisse und Schutzmaßnahmen für die Kunden hinzugefügt.
Was ist passiert?
Die Angriffe konnten bis zum 6. Januar 2021 zurückverfolgt werden, als eine neue Angreifergruppe, von Microsoft später als „Hafnium“ bezeichnet, damit begann, vier Zero-Day-Bugs in Exchange Server auszunutzen. Die Gruppe setzt auf virtuelle private Server (VPS) in den USA, um ihren wahren Standort zu verbergen. Microsoft hat letzte Woche Notfall-Patches herausgegeben und erklärte dazu:
„Bei den beobachteten Angriffen nutzte der Bedrohungsakteur diese Schwachstellen, um auf lokale Exchange-Server zuzugreifen, was den Zugriff auf E-Mail-Konten ermöglichte und die Installation zusätzlicher Malware erlaubte, um den langfristigen Zugriff auf die Umgebungen der Opfer zu erleichtern.“
Bei einer Verkettung könnten die Angreifer die Schwachstellen dazu nutzen, um sich als Exchange-Server zu authentifizieren, Code als System auszuführen und eine Datei in einen beliebigen Pfad auf dem Server zu schreiben. Nach dem Missbrauch der vier Sicherheitslücken soll Hafnium Web-Shells einsetzen, die es der Gruppe ermöglichen, Daten zu stehlen und zusätzliche bösartige Aktionen durchzuführen, um ihre Ziele weiter zu kompromittieren. Dazu könnte auch Ransomware gehören.
Sowohl das Weiße Haus als auch die US Cybersecurity and Infrastructure Security Agency (CISA) sind äußerst beunruhigt über die weitreichenden Konsequenzen der Kampagne. CISA hat die Regierungsbehörden angewiesen, ihre Onpremise Exchange Server sofort zu patchen oder vom Netz zu nehmen.
Wer ist betroffen?
In einer ersten Einschätzung erklärte Microsoft, dass Hafnium vorher schon Organisationen in Bereichen wie der Erforschung von Infektionskrankheiten, dem Rechtswesen, der Hochschulbildung, der Verteidigung, politische Think Tanks und NGOs angegriffen hat. Es gibt jedoch Hinweise darauf, dass die jüngste umfangreiche Angriffswelle das Werk anderer Bedrohungsakteure sein könnte. Unabhängig von der Quelle warnt der ehemalige CISA-Chef Chris Krebs, dass kleine und mittelständische Unternehmen, Organisationen des Bildungssektors sowie staatliche und kommunale Behörden überproportional betroffen sein könnten, da diese oft weniger Ressourcen für die Sicherheit aufwenden können.
Unternehmen, die Onpremises Exchange Server betreiben, können folgendermaßen prüfen, ob sie betroffen sind:
- Scannen der Exchange Server-Logdateien mit dem Microsoft Erkennungstool , um nach einer Kompromittierung zu suchen.
- Eine manuelle Suche mit Trend Micro Vision One durchführen, um bekannte Indicators of Compromise (IoCs) im Zuammenhang mit der Kampagne zu finden.
Was nun?
Findet eine Organisation mit dem Scan heraus, dass die Umgebungen nicht kompromittiert sind, sollten die von Microsoft veröffentlichten Patches so schnell wie möglich aufgespielt werden. Gibt es jedoch Anzeichen einer Ausnutzung dieser Schwachstellen in der Unternehmensumgebung, befindet sich die Organisation im Incident Response-Modus.
Der dann eingeschlagene Weg hängt von der Situation und den Ressourcen im betroffenen Unternehmen ab. Trend Micro empfiehlt KMUs und größeren Unternehmen folgende Schritte:
- Gibt es kein Sicherheitsteam im Unternehmen, so sollte der Sicherheitsanbieter oder MSP um Hilfe ersucht werden.
- Gibt es ein Incident Response Team im Haus, so wird sich dieses um die nächsten Schritte kümmern.
- Es sollte kein Re-Imaging von Rechnern durchgeführt werden, bevor nicht ein forensischer Scan stattgefunden hat, um sicherzustellen, dass alle IoCs erhalten geblieben sind.
- Kontakt zur Rechtsabteilung aufnehmen, um die Anforderungen einer Benachrichtigung über eine Sicherheitsverletzung zu klären.
Weitere Informationen zu Trend Micros Erkennungen und zusätzlichen Schutzmaßnahmen bezüglich dieser Kampagne gibt der Knowledge Base-Artikel https://success.trendmicro.com/solution/000285882. Er wird laufend aktualisiert.