Hafnium greift über Windows-Systeme an

Nach den spektakulären Angriffen auf Exchange-Server versucht die Hackergruppe Hafnium derzeit, sich über Zero-Day-Exploits in Windows Zugang zu fremden Infrastrukturen zu verschaffen und dort Hintertüren für künftige Angriffe einzuschmuggeln. Administratoren sollten deshalb wachsam sein.

Seit die Hackergruppe Hafnium im Frühjahr 2021 weltweit Exchange-Server kompromittierte und sich darüber Zugang zu wichtigen Unternehmen und Behörden verschaffte, behalten Security-Experten sie genauestens im Auge. Nachdem es einige Monate relativ ruhig um die vermutlich mit staatlicher Unterstützung Chinas agierenden Cyberkriminellen war, schlagen die Beobachter jetzt Alarm. Ihnen zufolge ist Hafnium aus dem Dornröschen-Schlaf erwacht und versucht derzeit äußerst aktiv, sich über einen neuen Angriffsweg Zugang zu den Systemen lohnenswerter Opfer zu verschaffen. Wie etwa die Sicherheits-Spezialisten aus Microsofts Detection and Response Team (DART) und Threat Intelligence Center (MSTIC) ausführen, greifen die Hacker dieses Mal direkt lokale Windows-Installationen an.

Über eine Zero-Day-Schwachstelle im Task Scheduler des Betriebssystems schleusen die Angreifer dort die Malware „Tarrask“ ein. Wie schon bei den Exchange-Angriffen gesehen, dient diese Schadsoftware ihnen allerdings nicht dazu, unmittelbaren Schaden anzurichten. Stattdessen soll sie über die infizierten Systeme Zugänge zum Netzwerk schaffen und die Infrastrukturen für künftige Angriffe vorbereiten. Dazu versucht Tarras etwa, wichtige Security-Funktionen zu schwächen und auszuhebeln und weitere Hintertüren für die Angreifer zu implementieren.

Da es aktuell noch keinen Patch für die Schwachstelle gibt, Hafnium sie jedoch bereits gezielt und auf breiter Front angreift, empfiehlt Microsofts DART-Team allen Administratoren, unbedingt selbst aktiv zu werden. Auf einer eigens eingerichteten Seite im Security-Blog beschreibt Microsoft, wie sich verdächtige Aktivitäten und Netzwerkverbindungen bei einer Infektion mit Tarrask mittels entsprechenden Logs im Windows Task Scheduler und über Tools wie den Windows Defender identifizieren und betroffene Clients aufspüren lassen.

Matchmaker+ Anbieter zum Thema

zu Matchmaker+

Lesen Sie mehr zum Thema

Weitere Artikel zu Microsoft GmbH

Fehlerfreie Qubits

Quantencomputer der neuesten Generation

Private Cloud für den Bund

Millionenschwerer Cloud-Großauftrag für Ionos

Janik geht, Heftberger kommt

Chefwechsel bei Microsoft Deutschland

Microsoft stellt Partnerkonferenz ein

Aus für die „Microsoft Inspire“

Gebrauchtsoftware-Spezialist

Christian Bedel verlässt MRM Distribution

Weitere Artikel zu RZ-Dienstleistung

Vorstandswechsel bei T-Systems

Ferri Abolhassan ersetzt Adel Al-Saleh

Rechenzentrum: Neubau oder Ertüchtigung?

Mit RZ-Refit Ressourcen, Geld und Zeit sparen

Delta stellt Experience Center für RZ-Lösungen vor

Test- und Qualifizierungsanforderungen erfüllen

Datenschutz

Jetzt dranbleiben

European Lighthouse on Secure and SafeAI

ELSA-Netzwerk feiert offiziellen Start in…