Sicherheitslücken in Microsoft Exchange Server – das dicke Ende kommt noch

Berlin, 16.3.2021

Wer als erster auf die Sicherheitslücken in Exchange Server aufmerksam machte, ist schwer festzustellen. Chris Krebs , der ehemalige Direktor der Cybersecurity and Infrastructure Security Agency war einer der ersten, der auf Twitter darauf hinwies.

Sein Namensvetter, der Journalist Brian Krebs, hatte recherchiert, dass schon seit dem 6. Januar diesen Jahres Angriffe auf die Exchange- Lücke geführt wurden. Steven Adair, Chef der IT- Sicherheitsfirma Volexity, hatte die Entwicklungen verfolgt Aus seinem Aufzeichnungen lief es so ab, dass die Angreifer anfangs wenige Ziele ausgesucht hätten, gingen dann aber im Februar dazu über, automatisiert in großem Stil Zehntausende E-Mail-Server täglich mit Hintertüren zu versehen. Nachdem Microsoft die Lücke bekanntmachte, sei es zu tausenden weiteren Attacken gekommen.

Wie auch immer – (erst) am 2. März hat Microsoft Sicherheitsupdates für vier Schwachstellen bereit gestellt und verkündet (oder zugegeben) , dass die Lücke bereits aktiv ausgenutzt werde. Auch die Angreifer standen fest: es sei die kriminelle Hackergruppe Hafnium, die, so Microsoft, stehe dem chinesischen Staat nahe. Wie sie dabei vorging, schien Microsoft auch zu wissen: Die Hacker würden mit gemieteten Virtual Private Servers in den USA arbeiten. Logisch: Die chinesische Regierung hat die Vorwürfe zurückgewiesen.

Indessen zeichnet sich immer deutlicher ab, dass außer den „Chinesen“ wohl so gut wie jeder, der sich entsprechend für den Hack qualifiziert hat, die Gunst der Stunde nutzte oder immer noch nutzt, denn es kann nicht ausgeschlossen werden, das so manche IT- Abteilung noch immer keine Gegenmaßnahmen ergriffen hat.

Inzwischen gibt es einen noch nicht vollständigen Überblick, wer betroffen ist: Allein in den USA sollen laut Krebs 30.000 Regierungseinrichtungen und Firmen über die vier Zero Days gehackt worden sein. Betroffen seien kleine Unternehmen oder Gemeinden, Polizeidienststellen, Krankenhäuser und Kreditverwaltungen. Weltweit schätzt Krebs Hunderttausende betroffene Organisationen.

Laut Check Point sind die Türkei, die USA und Italien derzeit am stärksten von den Exchange-Attacken betroffen. Für die drei Länder ermittelten die Forscher Anteile von 19, 18 und 10 Prozent. Zu den häufigsten Ziele zählen Behörde und militärische Einrichtungen, Industrieunternehmen, Banken, der Gesundheitssektor und Bildungseinrichtungen. Palo Alto Networks schätzt indes, dass weltweit wahrscheinlich mindestens 125.000 Exchange Server noch nicht gepatcht wurden.

Die Angriffe richteten sich zunächst vor allem gegen US-Forschungseinrichtungen, die sich mit Pandemien beschäftigten, Hochschulen, Anwaltsfirmen oder Organisationen aus dem Rüstungssektor. Die Sprecherin des Weißen Hauses, Jennifer Psaki, sprach von einer „aktuellen Bedrohung“ und riet, möglichst schnell ein verfügbares Sicherheitsupdate zu installieren. „Wir befürchten, dass es eine große Zahl an Opfern gibt.“

Indessen wurde auch von Microsoft nicht mehr bestritten, dass nicht mehr die „Chinesen“ allein sondern kriminelle Hackergruppen die Sicherheitslücke nutzen. Die IT-Sicherheitsfirma ESET kommt in einer aktuellen Analyse auf mindestens zehn solcher Gruppen, die in über 5.000 Exchange-Servern in mehr als 115 Ländern bereits Web shells platziert hätten. Als angegriffen meldete sich zum Beispiel die Europäische Bankenaufsicht (EBA).

Laut dem F-Secure Sicherheitsexperten Rüdiger Trost sind Deutsche Unternehmen im internationalen Vergleich besonders stark betroffen. Hintergrund: „Deutsche Unternehmen fürchten die Cloud und betreiben Dienste wie Exchange daher häufig lokal.“

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) schätzte bei 9.000 Unternehmen und anderen Institutionen die Bedrohung durch die Cyberangreifer so hoch ein, dass sie per Briefpost vor der Gefahr gewarnt wurden. Seit einigen Tagen hat sie die Bedrohungslage auf „Stufe 4/Rot“ gesetzt. Das bedeutet: „Die IT-Bedrohungslage ist extrem kritisch. Ausfall vieler Dienste, der Regelbetrieb kann nicht aufrechterhalten werden.“ Auf Twitter schrieb BSI-Präsident Arne Schönbohm am Wochenende , dass sich die Behörde vor allem um „kleine und mittlere Betriebe in Deutschland“ Sorgen mache. „Es ist zu erwarten, dass Cyberkriminelle bald automatisiert angreifen, also eine große Welle auf Organisationen weltweit zukommt“. Laut Schönbohm waren zum Zeitpunkt seines Statements noch „20.000 offene Systeme bekannt.“

Laut dem BSI sind acht Bundesbehörden betroffen. In mindestens zwei Fällen gehe man von einer Kompromittierung aus. Eine betroffene Behörden ist das Umweltbundesamt.

Auch lokale Behörden haben Warnungen rausgegeben und mahnen Unternehmen zur Installation von Updates. Ein aktuelles Beispiel: Seit Ende vergangener Woche seien bereits mehrere Meldungen zu Datenpannen eingegangen, teilte das Büro des Landesbeauftragten am Donnerstag mit.

Beim Blick in die Zukunft sieht Rüdiger Trost schwarz: Das dicke Ende komme „Es ist alles denkbar: Angriffe auf Unternehmen mit dem Ziel der Erpressung, Wirtschaftsspionage, aber auch Angriffe auf die kritische Infrastruktur.“