Durch einen aktuellen Hacker-Angriff kann auf Microsoft Exchange-Servern Schadcode ausgeführt werden, der den Angreifern weitere Möglichkeiten zum Angriff eröffnet [1, 3]. Es muss dafür keine Authentifizierung bspw. vor Ort ausgeführt werden. Der Angriff erfolgt remote. Haben die Angreifer Zugriff auf den Server, können sie die Postfächer inklusive der Mails und weiterer schützenswerter Daten stehlen. Verantwortlich für diesen Angriff soll eine Hackergruppe namens HAFNIUM sein [2, 3].
Microsoft hat am 03.03.2021 mehrere Updates veröffentlicht, die die Schwachstellen schließen sollen. Dass die Updates außerhalb des gewöhnlichen Rhythmus veröffentlicht werden, zeigt die Brisanz der Schwachstelle. Für die folgenden Serverversionen sind Updates verfügbar [5]:
- Exchange Server 2010 (SP 3 RU)
- Exchange Server 2013 (CU 23)
- Exchange Server 2016 (CU 19, CU 18, CU 16, CU15, CU14)
- Exchange Server 2019 (CU 8, CU 7, CU 6, CU 5, CU 4)
Laut dem Bundesamt für Sicherheit in der Informationstechnik (BSI) sind in Deutschland aktuell ungefähr 57.000 Server bedroht und können über die Schwachstellen angegriffen werden, die vollautomatisch erfolgt. Nach aktuellem Kenntnisstand sind Server, die bereits kompromittiert wurden, durch die Updates zwar vor weiterem Ausnutzen der Schwachstellen geschützt, allerdings können weitere Hintertüren bestehen, durch die die Hacker erneut in das System kommen könnten [2, 4].
Kurze Handlungsempfehlung:
- Spielen Sie die bereitgestellten Updates ein.
- Mit einem von Microsoft veröffentlichen Shell-Script können Administratoren testen, ob Ihre Server bereits über die Schwachstelle ausgenutzt wurden: https://github.com/microsoft/CSS-Exchange/tree/main/Security
- Durchsuchen Sie evtl. Ihre Logdateien nach den hier aufgeführten IP-Adressen: https://www.volexity.com/blog/2021/03/02/active-exploitation-of-microsoft-exchange-zero-day-vulnerabilities/
- Kontaktieren Sie Ihren IT-Dienstleister und melden Sie bei erfolgtem Eindringen den Vorfall den Strafverfolgungsbehörden.
- Durch die personenbezogenen Daten kann es außerdem erforderlich sein, dass Sie sich bei den Datenschutzbehörden selbst anzeigen. Dies muss in Einzelfällen geprüft werden.
In einem kurzen Talk wird bei einer Veranstaltung der Industrie- und Handelskammer Siegen zusammen mit dem Mittelstand 4.0-Kompetenzzentrum Siegen und der Firma dokuworks auch auf die aktuelle Lage und die Maßnahmen bei erfolgtem Angriff eingegangen: https://kompetenzzentrum-siegen.digital/event/it-sicherheitstalk-die-exchange-sicherheitsluecke-und-die-folgen/
Informieren Sie sich über weitere Updates bspw. beim BSI: https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Empfehlungen-nach-Angriffszielen/Server/Microsoft-Exchange_Schwachstelle/schwachstelle_exchange_server_node.html
[1] CVE-2021-26855 - Leitfaden für Sicherheitsupdates - Sicherheitsanfälligkeit in Microsoft Exchange Server bezüglich Remotecodeausführung: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26855. Accessed: 2021-03-10.
[2] Microsoft Exchange Cyber Attack — What Do We Know So Far? https://thehackernews.com/2021/03/microsoft-exchange-cyber-attack-what-do.html. Accessed: 2021-03-10.
[3] URGENT — 4 Actively Exploited 0-Day Flaws Found in Microsoft Exchange: https://thehackernews.com/2021/03/urgent-4-actively-exploited-0-day-flaws.html. Accessed: 2021-03-10.
[4] Zero Day: 30.000 Firmen via Exchange-Lücke gehackt - allein in den USA - Golem.de: https://www.golem.de/news/zero-day-30-000-firmen-via-exchange-luecke-gehackt-allein-in-den-usa-2103-154735.html. Accessed: 2021-03-10.
[5] 2021. Mehrere Schwachstellen in MS Exchange. Bundesamt für Sicherheit in der Informationstechnik. (Mar. 2021), 7.