Zwei Monate bis zum Patch
Security Update für Microsoft Exchange Server
Anfang März veröffentlicht Microsoft Patches für vier Schwachstellen im Exchange Server. Über die Schwachstellen wurde der Software-Riese aber bereits im Januar imformiert. Wie können sich Unternehmen jetzt schützen?
Die Sicherheitscommunity wurde am 2. März auf vier kritische Zero-Day-Schwachstellen in Microsoft Exchange Server aufmerksam (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 und CVE-2021-27065). Diese Schwachstellen ermöglichen es Angreifern, auf Exchange Server zuzugreifen und potenziell langfristigen Zugriff auf die Umgebungen der Opfer zu erlangen.
Das Microsoft Threat Intelligence Center (MSTIC) schreibt die anfängliche Kampagne mit hoher Wahrscheinlichkeit »HAFNIUM« zu, einer Gruppe, die nach Einschätzung von MISTIC staatlich gesponsert wird und von China aus operiert. Mehrere Threat-Intelligence-Teams, einschließlich MSTIC und Unit 42 von Palo Alto Networks, beobachteten bereits mehrere Bedrohungsakteure, die diese Zero-Day-Schwachstellen jetzt ausnutzen. Hacker haben inzwischen mindestens eine komplette Exploit-Chain veröffentlicht, mit der andere Kriminelle eine »Komplettlösung« erhalten, um die Lücke auszunutzen. Somit ist davon auszugehen, dass es in den nächsten Wochen verstärkt zu Attacken kommen wird, etwa mit Ransomware.
Zwei Monate bis zum Patch
Microsoft wurde mehrmals von unterschiedlichen Security-Forschern informiert, wie der Software-Riese selbst auch bestätigt. Den gesamten Ablauf bisher zeigt eine Timeline des Sicherheitsexperten Brian Krebs in seinem Blog: Microsoft wurde demnach über die Schwachstellen bereits im Januar informiert. Der bisher früheste bekannte Bericht kam am 5. Januar von einem leitenden Sicherheitsforscher der Sicherheitstestfirma Devcore, der unter dem Namen Orange Tsai arbeitet. Im Februar wurde Microsoft noch einmal darauf hingewiesen, dass bisher unbekannte Exchange-Schwachstellen aktiv angegriffen werden. Das dänische Sicherheitsunternehmen Dubex sagt, dass es die ersten Angriffe auf Clients am 18. Januar sah und die Ergebnisse am 27. Januar an Microsoft berichtete.
In einem Blog-Post über ihre Entdeckung, Please Leave an Exploit After the Beep, sagte Dubex, dass die Opfer, die sie im Januar untersuchten, eine Web Shell-Backdoor über das Unifying Messaging-Modul installiert hatten, eine Komponente von Exchange, die es einer Organisation ermöglicht, Voicemail und Faxe zusammen mit E-Mails, Kalendern und Kontakten in den Postfächern der Benutzer zu speichern. »Ein Unified-Messaging-Server ermöglicht den Benutzern auch den Zugriff auf Voicemail-Funktionen über Smartphones, Microsoft Outlook und Outlook Web App«, schreibt Dubex. »Die meisten Benutzer und IT-Abteilungen verwalten ihre Voicemail getrennt von ihren E-Mails. Voicemail und E-Mail existieren als separate Postfächer, die auf separaten Servern gehostet werden. Unified Messaging bietet einen integrierten Speicher für alle Nachrichten und den Zugriff auf die Inhalte über den Computer und das Telefon.«
Diese Zeitspanne bedeutet auch, dass Microsoft fast zwei Monate Zeit hatte, um den Patch zu veröffentlichen, der schließlich am 2. März beziehungsweise 3. März ausgeliefert wurde, oder um Hunderttausenden von Exchange-Kunden zu helfen, die Bedrohung durch diese Schwachstelle zu mindern, bevor Angreifer beginnen konnten, sie auszunutzen. Das bedeutet auch, dass Exchange Server auch dann noch gefährdet sein könnten, wenn die Patches sofort installiert werden.
Die geschätzte Zahl der potenziell gefährdeten Organisationen geht weltweit in die Zehntausende. Basierend auf Telemetriedaten der Palo Alto Networks Expanse-Plattform, gibt es weltweit schätzungsweise noch über 125.000 ungepatchte Exchange Server.
- Security Update für Microsoft Exchange Server
- Das sollten Unternehmen jetzt tun:
Lesen Sie mehr zum Thema
