Katastrophaler Angriff auf Microsoft Exchange
BSI ruft Bedrohungslage Rot aus
Die Microsoft Exchange Software enthält folgenschwere Sicherheitslücken. Das Ausmaß der betroffenen Systeme ist gigantisch und Nutzer müssen nun dringend handeln.
Das BSI sieht in Deutschland mehrere zehntausend Server betroffen und hat die Bedrohungslage „Rot“ ausgerufen. Weltweit sind es mehrere Hunderttausend. Die Sicherheitslücke wird aktiv von mehreren Hackergruppen genutzt. Die Sicherheitslücke ermöglicht es den Angreifern E-Mails abzugreifen und das interne Netzwerk zu infiltrieren.
Was ist passiert?
Bereits im Dezember 2020 haben Sicherheitsexperten aus Taiwan festgestellt, dass die Exchange Software mehrere Sicherheitslücken hat, die es Angreifern ermöglichen würde, die Server administrativ zu übernehmen. Im Januar und Februar berichteten weltweit mehrere Sicherheitsfirmen, dass es vermehrt zur Nutzung der Sicherheitslücke kommt.
Am 26.02.2021 begann dann der Massenangriff von mehreren Hackergruppen. Führend soll die chinesische Hackergruppe Hafnium sein, nachdem der Hack nun benannt ist.
Am 03.03.2021 veröffentlichte Microsoft Sicherheitspatches, die aber durch einen Fehler nicht eingesetzt werden konnten. Erst jetzt hat Microsoft brauchbare Patches zur Verfügung gestellt, die nun dringend eingesetzt werden sollten.
Leider kommt das ganze für viele zu spät.
Was müssen Sie tun?
In den Rechenzentren haben die Administratoren die Sicherheitspatches bereits eingesetzt und untersuchen, ob das System in irgendeiner Weise kompromittiert wurde.
Auf Ihren lokalen Rechnern sollten Sie so schnell wie möglich, die Updates für das Microsoft Office, den Internet Explorer und das Programm Outlook einsetzen. Die Updates werden ihnen über das Betriebssystem zur Verfügung gestellt.
Wenn Sie lokal einen Exchange Server haben, sollte Ihr Admin die Sicherheitspatches installieren und Ihr System nach möglicher Penetration überprüfen. Die Patches und Informationen, wie das System zu überprüfen ist, finden Sie hier:
https://github.com/dpaulson45/HealthChecker#download
Warum Microsoft so spät reagiert
Über die Gründe lässt sich nur spekulieren. Die Sicherheitslücken hätten bereits vor den Hackerangriffen geschlossen werden können. Allerdings gibt es in den USA eine Verordnung, nachdem alle gefundenen Sicherheitslücken zunächst der NSA gemeldet werden müssen. Eventuell hat man darauf spekuliert, die Sicherheitslücke selbst nutzen zu können.