+43 699 / 18199463
office@itexperst.at
Rückrufservice
News
27 Apr 21
IT-Sicherheitslage in Deutschland: desaströs - Exchange-Angriffe (Hafnium)

IT-Sicherheitslage in Deutschland: desaströs – Exchange-Angriffe (Hafnium)

Seit Anfang dieses Jahres haben die Hafnium-Cyberangriffe auf Schwachstellen in Microsoft Exchange die IT-Sicherheitslage in Deutschland weiter verschärft. Informatik-Professor Hartmut Pohl bezeichnete vor Kurzem die Lage hierzulande jedoch als desaströs. Mindestens zehn Hackergruppen hatten die gleiche Schwachstelle ausgenutzt und E-Mail-Server von mindestens 100.000 hochkarätigen Zielen in aller Welt kompromittiert. Die Forscher von ESET veröffentlichten einen ausführlichen Bericht darüber.

Kritische Microsoft-Schwachstelle verursacht Angriffswelle

Am 02. März veröffentlichte Microsoft ein äußerst wichtiges Sicherheitspatch für die Microsoft Exchange Server 2013, 2016 und 2019. Die Schwachstellen mit den Namen CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 und CVE-2021-27065, sind als ProxyLogon-Exploit-Chain bekannt.

Das Patch folgte nach dem Bekanntwerden, dass Angreifer jeden erreichbaren Exchange-Server übernehmen konnten, ohne die Zugangsdaten zu kennen. Cheng-Da Tsai, bekannt als Orange Tsai, ein Sicherheitsforscher bei DEVCORE meldete die Schwachstelle am 05.01.2021 an Microsoft.

Microsoft veröffentliche auch Sicherheitsfixes für ältere, nicht unterstützte Versionen des Exchange Servers. Sicherheitsforscher haben bereits bösartige virtuelle Kommandozeilen, sogenannte Webshells auf über 5.000 E-Mail-Servern entdeckt.

Die Bekanntgabe des Microsoft Patches veranlasste eine halbe Armee an verschiedenen Hackern, sich so schnell wie möglich auf noch nicht gepatchte Opfersysteme zu stürzen. Sicherheitsforscher von ESET konnten mindestens zehn verschiedene Hackergruppen identifizieren, die Ziele in aller Welt angriffen. Die Mehrzahl dieser Hackergruppen haben wohlbekannte Verbindungen zu China. Die Forscher gehen davon aus, dass viele Hacker bereits vorab von der Schwachstelle wussten. Bekannt ist definitiv, dass die Hafnium Hacker seit Anfang des Jahres sie ausgenutzt hatten. Wie sich das Wissen über die Schwachstelle verbreitete unter den Hackergruppen, ist aber noch nicht bekannt. Beobachtet werden konnte aber ein regelrechter Schneeballeffekt an Angriffen auf Exchange-Server.

Juan Andres Guerrero-Saade, leitender Forscher bei der Sicherheitsfirma SentinelOne, sagte dazu:

„Die Vorstellung, dass sechs Hackerguppen aus einer Region unabhängig voneinander dieselbe Schwachstellen-Kette entdecken und denselben Exploit entwickeln, ist mehr als unwahrscheinlich“,

schrieb er.

„Die einfachere Erklärung ist, dass es (a) einen gemeinsamen Exploit-Verkäufer gab, (b) eine unbekannte gemeinsam genutzt Quelle oder (c) eine gemeinsame Instanz, die die verschiedenen Hackergruppen organisiert und ihnen Exploit zur Verfügung gestellt hatte“.

Guerrero-Saade nannte hier das chinesische Ministerium für Staatssicherheit als Beispiel.

Weltweiter Aufruhr nach Angriffen auf wichtige Ziele

Drei chinesische APT-Gruppen, APT27, Winnti und Bronze Butler, griffen nach der Patch-Veröffentlichung jeweils hochkarätige Ziele an. Betroffen waren ein Regierungs-E-Mail-Server im Nahen Osten, ein ostasiatischer IT-Anbieter und die Server von Öl- und Baufirmen in Ostasien.

Auch die Amerikaner waren in Krisenstimmung und die Behörden ließen Warnungen veröffentlichen. Zu den bekanntgewordenen Opfern zählten unter anderem einige US-Verteidigungsunternehmen und eine große Zahl kleiner Unternehmen, Städte und Bezirksregierungen.

Auch in Tschechien gab es Angriffe auf die E-Mail-Systeme der Stadt Prag und des tschechischen Arbeitsministeriums. Vom Angriff war sogar die Europäische Bankaufsichtsbehörde betroffen. Aus Deutschland kam die Meldung, dass man große Probleme befürchtete, da im Lande etwa 26.000 Exchange-Server mit der Schwachstelle verwendet wurden. In Norwegen wurden in die IT-Systeme des Justizministeriums eingedrungen und Daten gestohlen.

Microsoft berichtete, dass die chinesische APT Hafnium auf E-Mail-Konten zugreifen, Daten stehlen und Malware ablegen konnte. Auch andere Hackergruppen wie CactusPete, LuckyMouse, Calypso und Mikroceen waren unter den Angreifern zu finden. Sie alle scannten und kompromittierten massenhaft Exchange-Server.

Die ESET-Forscher haben auch festgestellt, dass manche Hacker die bereits abgelegten Webshells anderer Hacker mitverwendeten. Möglich ist, dass dies abgesprochen wurde oder dass die Webshells einfach gekapert wurden. ESET stellte auch fest, dass mehrere Hacker die gleichen Opfer angriffen.

Der Angriff auf die Microsoft-Exchangeserver

Die Forscher von Volexity entdeckten die Angriffe als Erstes am 6. Januar 2021. Laut den Forschern waren die Schwachstellen sehr einfach auszunutzen und Angreifer brauchten dafür keine besonderen Kenntnisse. Es ging um folgende Schwachstellen:

CVE-2021-26855, ein SSRF-Fehler, bei dem ein Exchange Server so manipuliert werden kann, dass er ihm ansonsten verbotene Befehle ausführt. Dies wäre beispielsweise die Authentifizierung als Exchange-Server selbst.

CVE-2021-26857 wurde ausgenutzt, um beliebigen Code unter dem „System“-Konto auf einem gezielten Exchange-Server auszuführen.

Die beiden Zero-Day-Schwachstellen CVE-2021-26858 und CVE-2021-27065 ermöglichen es Hackern, Dateien auf einen beliebigen Serversbereich zu überschreiben.

Einmal im System, setzten die Hafnium-Hacker Web-Shells, sogenannte ASPX-Dateien, auf der Festplatte des kompromittierten Servers. Danach wurden weitere Operationen durchführt wie:

  • Hinzufügen von Benutzerkonten
  • Stehlen von Kopien der Active Directory-Datenbank (NTDS.DIT)
  • Verwendung von Procdump, um den LSASS-Prozessspeicher zu dumpen
  • Verwendung von 7-Zip zum Komprimieren gestohlener Daten in ZIP-Dateien zum Extrahieren
  • Hinzufügen und Verwenden von Exchange PowerShell-Snap-Ins zum Exportieren von Postfachdaten
  • Verwenden der Nishang Invoke-PowerShellTcpOneLine-Reverse-Shell
  • Herunterladen von PowerCat von GitHub, zur Öffnung einer Verbindung zu einem Remote-Server.

Desweitern konnten die Hacker das Exchange-Offline-Adressbuch der Opfer-Systeme herunterladen. Darin sind Informationen über eine Organisation und ihre Nutzer abgelegt.

Aufräumarbeiten nach der Angriffswelle

Deutschland auch schwer getroffen aber schnell beim Patchen

Die Sicherheitslücke gefährdet bis zu 60.000 Computersysteme in Deutschland laut dem BSI. Doch bereits in kurzer Zeit nach der Warnung des BSI, waren mehr als die Hälfte der gefährdeten Systeme schon gepatcht. BSI-Chef Arne Schönbohm sprach von zwei Bundesbehörden, die von dem Hack betroffen waren. Das BSI erhielt eine überdurchschnittlich hohe Anzahl an Anfragen zu der Sicherheitslücke.

Patching ist nicht genug für die IT-Sicherheit

Microsoft gab im März an, dass bereits 92 Prozent der gefährdeten Exchange Server gepatcht worden waren. Damit sei zwar der ProxyLogon-Fehler gepatcht aber eine zuvor bestehende Infektion mit Malware oder Ransomware würde das Patch nicht beseitigen. IT-Administratoren wurde geraten, ihre Systeme auf Indikatoren für eine Kompromittierung zu überprüfen.

Joe Slowick, Senior Security Researcher bei DomainTools sagte, dass die relevanten Patches der Schadensbegrenzung dienen würden. Aber

„angesichts der Geschwindigkeit, mit der die Angreifer diese Schwachstellen ausnutzen, und der langen Zeitspanne in der sie diese aktiv ausgenutzt haben, müssen viele Unternehmen wahrscheinlich zu Reaktions- und Abhilfemaßnahmen übergehen“,

so Slowick. Er gab Tipps wie solche, dass Exchange-Server nur für ihre Benutzer und nicht für das gesamte Internet zugänglich zu machen. Der Schutz eines VPN gibt einem auch die Zeit, die Anwendung dahinter zu patchen, bevor sie tatsächlich kompromittiert wird.

Mehrere Tools stehen zur Verfügung

Die IT-Sicherheitsindustrie rüstet auf nach den Angriffen auf die Microsoft Exchange Server. Das Unternehmen Redmond aktualisierte den Microsoft Safety Scanner, ein Tool das hilft, Webshells in Systemen aufzuspüren. Kurz nach dem Patch-Release am 9. März öffnete Microsoft seinen AccountGuard-Mitgliedern kostenlos den Zugang zum erweiterten Schutz für Identitäts- und Zugriffsmanagement. Mit AccountGuard können Microsoft-VIP-Nutzer ihre Konten schützen. Kunden sind Personen des öffentlichen Interesses, Politiker oder Journalisten, die einem höheren Angriffsrisiko ausgesetzt sind.

Es gibt mittlerweile eine Opferliste, die 86.000 IP-Adressen von Exchange-Servern enthält, die weltweit durch die neuesten Schwachstellen infiziert wurden. Woher die Liste ursprünglich stammt, ist nicht bekannt. Allerdings wird damit ein webbasierter Dienst betrieben, der Unternehmen hilft zu Infektionen zu erkennen. Es handelt sich um den Dienst Check My OWA.

Neue Angriffsphasen sind die Gefahren nach den Patchen

Wer gepatcht hat, muss nach Kompromittierung scannen, mögliche Web-Shells schnellstens entfernen und alle Anmeldedaten ändern. Es ist ratsam sofort nach weiteren bösartigen Aktivitäten auf den Servern zu suchen. John Hultquist von FireEye sagte in diesem Zusammenhang:

„Es gibt einen Infektionspunkt, an dem dies aus den Händen von Spionage-Betreibern in die Hände von Kriminellen und potenziell der Öffentlichkeit übergeht.“

Analysten von Red Canary und Binary Defense haben bereits Hinweise darauf gefunden, dass Hacker sich darauf vorbereiten, Kryptominer auf exponierten Exchange-Servern auszuführen. Systeme, die bereits durch die Angriffe auf lokale Exchange-Server kompromittiert wurden, werden mit Ransomware angegriffen. Microsoft erkannte die Ransomware Bedrohungen Ransom:Win32/DoejoCrypt.A und auch DearCry. Experten wissen, dass auf manchen Opfersystemen gleich mehrere Backdoors für Schadsoftware installiert worden sind. Viele IT-Experten benachrichtigen die betroffenen Unternehmen und helfen ihnen, weiteren Schaden durch Malware oder Ransomware zu verhindern.

Die SANS-IT-Sicherheitsexperten Johannes Ullrich und Alan Paller berichteten, dass bereits Proof-of-Concept-Code im Umlauf sei und daher mit Backdoors gerechnet werden muss. Unter Hacker sei es geradezu ein Wettbewerb, wer die meisten Systeme kontrolliert, bevor andere Gruppen sie übernehmen. Fakt sei, so die SANS-Experten, dass die Angreifer deutlich schneller reagieren würden als die IT-Administratoren. Wer hier als Admin zu langsam auf die Gefahren reagiert, dem wird das Bereinigen viel schwerer gemacht.

Chris Krebs, ehemalige Leiter der Cybersecurity and Infrastructure Security Agency nahm Bezug auf Angriffe auf On-Premisis Exchange, auch als Outlook Web Access, und sagte.

„Wenn Ihre Organisation einen OWA-Server betreibt, der dem Internet ausgesetzt ist, können Sie davon ausgehen, dass Sie zwischen dem 26.02.2021 und 03.02.2021 kompromittiert worden sind.“

Artikel von welivesecurity.com, 10.03.2021: Exchange servers under siege from at least 10 APT groups
Artikel von cyberscoop.com, 10.03.2021: At least 10 APT hacking groups have exploited Exchange Server bugs, ESET warns
Artikel von threatpost.com, 11.03.2021: Microsoft Exchange Servers Face APT Attack Tsunami
Artikel von arstechnica.com, 11.03.2021: There’s a vexing mystery surrounding the 0-day attacks on Exchange servers
Artikel von zdnet.com, 11.03.2021: Exchange Server security patch warning: Apply now before more hackers exploit the vulnerabilities
Artikel von bleepingcomputer.com, 10.03.2021: More hacking groups join Microsoft Exchange attack frenzy
Artikel von wired.com, 10.03.2021: It’s Open Season for Microsoft Exchange Server Hacks
Artikel von krebsonsecurity.com, 09.03.2021: Warning the World of a Ticking Time Bomb
Artikel von govinfosecurity.com, 10.03.2021: List of Hacked Exchange Servers May Boost Recovery Efforts
Artikel von theregister.com, 11.03.2021: Å nei! Norway’s Stortinget struck by Microsoft Exchange malware
Artikel von bleepingcomputer.com, 10.03.2021: Norway parliament data stolen in Microsoft Exchange attack
Artikel von theregister.com, 09.03.2021: European Banking Authority restores email service in wake of Microsoft Exchange hack
Artikel von eba.europa.eu, 09.03.2021: Cyber-attack on the European Banking Authority – UPDATE 3
Artikel von zdnet.com, 09.03.2021: Microsoft Exchange server hack: Banking agency on ‚heightened alert‘ after cyberattack
Artikel von reuters.com, 10.03.2021: Up to 60,000 computer systems exposed in Germany to Microsoft flaw: BSI
Artikel von arstechnica.com, 13.03.2021: Exchange servers first compromised by Chinese hackers hit with ransomware
Artikel von zdnet.com, 12.03.2021: Microsoft Exchange attacks: Watch out for this new ransomware threat to unpatched servers
Artikel von scmagazine.com, 12.03.2021: Ransomware may be targeting Microsoft’s Hafnium Exchange Server vulnerabilities
Artikel von duo.com, 12.03.2021: DearCry Ransomware Hitting Exchange Servers
Artikel von threatpost.com, 24.03.2021: Microsoft Exchange Servers See ProxyLogon Patching Frenzy
Artikel von zdnet.com, 24.03.2021: Microsoft: 92% of vulnerable Exchange servers are now patched, mitigated
Artikel von krebsonsecurity.com, 05.03.2021: At Least 30,000 U.S. Organizations Newly Hacked Via Holes in Microsoft’s Email Software
Artikel von wired.com, 05.03.2021: Chinese Hacking Spree Hit an ‘Astronomical’ Number of Victims
Artikel von arstechnica.com, 06.03.2021: Tens of thousands of US organizations hit in ongoing Microsoft Exchange hack
Artikel von scmagazine.com, 06.03.2021: Government briefed on breach of at least 30,000 Microsoft Exchange Servers
Artikel von fireeye.com, 04.03.2021: Detection and Response to Exploitation of Microsoft Exchange Zero-Day Vulnerabilities
Artikel von krebsonsecurity.com, 08.03.2021: A Basic Timeline of the Exchange Mass-Hack
Artikel von, zdnet.com, 19.04.2021:Everything you need to know about the Microsoft Exchange Server hack
Artikel von bleepingcomputer.com, 08.04.2021: European Banking Authority discloses Exchange server hack
Artikel von securityweek.com, 08.04.2021: EU Banking Regulator Hit by Microsoft Email Hack
Artikel von cyberscoop.com, 05.04.2021: Victims of Microsoft Exchange Server zero-days emerge
Artikel von eba.europa.eu, 07.043.2021: Cyber-attack on the European Banking Authority
Artikel von reuters.com, 05.03.2021: Czech capital Prague, Labour Ministry face cyber attacks
Artikel von krebsonsecurity.com, 02.03.2021: Microsoft: Chinese Cyberspies Used 4 Exchange Server Flaws to Plunder Emails
Artikel von scmagazine.com, 03.03.2021: Microsoft Exchange Server breaches more widespread than originally thought
Artikel von darkreading.com, 03.03.2021: More Details Emerge on the Microsoft Exchange Server Attacks
Artikel von threatpost.com, 05.03.2021: Microsoft Exchange Zero-Day Attackers Spy on U.S. Targets
Artikel von securityweek.com, 04.03.2021: Multiple Cyberspy Groups Target Microsoft Exchange Servers via Zero-Day Flaws

Beitragsbild: Public Domain, Creative Commons CC0 von GEORGE DESIPRIS von Pexels.com

Posted by: Christian Perst | Kategorie: Angriffe

Schreiben Sie uns eine Nachricht

* Pflichtfeld

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen