Exchange-Server weltweit bedroht – Hafnium bedroht Millionen Server

Hafnium bedroht weltweit alle Exchange-Server, sehr wahrscheinlich sind über 80.000 Server mit den dazugehörigen Strukturen wie Domain Controllern etc. infiziert worden. Doch von vorne…

Gerade noch hat die Welt der IT-Sicherheit aufgeatmet, als bekannt wurde, dass es Sicherheitsbehörden unter der Leitung von Europol gelungen ist, Emotet unschädlich zu machen, da kommt Microsoft mit der Hiobsbotschaft aus der Deckung, alle aktuellen Microsoft Exchange Versionen, angefangen von 2010 bis zur neusten Version 2019, hätten eine bisher unerkannte Sicherheitslücke gigantischen Ausmaßes.

Am 6. Januar 2021 erkannte das amerikanische Sicherheitsunternehmen Volexity erstmals infizierte Systeme, die durch eine bis dato ungeklärte Sicherheitslücke durchgeführt wurden. Am 2. Februar 2021 wurde Microsoft offiziell über diese Sicherheitslücken informiert, nachdem das Unternehmen zwei der insgesamt fünf Sicherheitslücken erforscht hatte. Die Bedrohungen installieren eine Webshell-Hintertür über das Unifying Messaging-Modul von Exchange. Nach weiteren Untersuchungen durch Microsoft wurde bekannt, dass es insgesamt fünf Sicherheitslücken gibt, die ausgenutzt werden. Erst am 2. März 2021 wurden durch Microsoft entsprechende Patches veröffentlicht. Da war es für die meisten Firmen bereits viel zu spät.

Krebsonsecurity hat eine Zeitschiene erstellt, mit der die Abläuft und das Versagen der Beteiligten sichtbar wird. Diese ist hier einsehbar.

Hafnium infizierte Systeme in insgesamt fünf Angriffswelle:
T0 – Unsichere Phase: Die Lücke besteht seit sieben Jahren, niemand ist sie bisher aufgefallen. Der chinesischen Hacker-Gruppierung Hafnium wird die Sicherheitslücke wohl zuerst aufgefallen sein.
T1 – Hochrisiko Phase: Hafnium wird zunächst sehr gezielt auf bestimmte Server angesetzt, um möglichst unerkannt zu bleiben und viele interessante Einrichtungen zu infiltrieren, darunter weltweit (und im Speziellen amerikanische) Behörden, Unternehmen, Hochschulen, Verteidigungsunternehmen, Forschungseinrichtungen und Kanzleien.
T2 – Detect und Remediation: Volexity erkennt die Sicherheitslücke bei deren Kunden und leitet Gegenmaßnahmen ein. Die Angreifer dürften dies sehr wohl bemerkt haben, ab diesem Zeitpunkt lief die Zeit gegen sie.
T3 – Welle 2: Massenangriffe auf alle Server weltweit, da für die Hacker klar war, dass nun bald Microsoft Patches bringen wird und zudem AV-Hersteller Ihre Systeme auf diese Sicherheitslücke spezialisieren werden. Microsoft bleibt untätig, analysiert Fehler, erkennt Ursachen und bereitet Updates vor. Das Ende der Zero-Day-Lücke
T4 – Welle 3: Die Patches für die Server werden veröffentlicht und schon beginnt das Wettrennen zwischen Exchange-Nutzern und weltweiten Hackern, die diese Sicherheitslücke ausnutzen möchten.

Genauere Darstellungen über die Entwicklung in den einzelnen Phasen gibt es in diesem Video:

Technische Informationen gibt es sehr gut aufgearbeitet von John Hammond in diesem Video:

Erkenntnisse

Auch wir haben am 02. März von dieser Sicherheitslücke erfahren, Logfiles studiert und stündlich nach Updates zu diesem Fall geschaut. In der Nacht vom 02. auf den 03. März hat unser Unternehmen dann alle betreuten Server untersucht und kam zur Erkenntnis, dass unser Sicherheitskonzept gewirkt hat. Wir blockieren standardmäßig auf allen Servern und Clients Powershell, CMD funktioniert nur ohne Admin-Rechte und viele weitere überwachte Parameter über PRTG hätten uns frühzeitig auf Datenabzug aufmerksam gemacht. Und so kamen wir zu dem Schluss, dass keiner unserer Kunden von diesen Super-Gau betroffen war und dieser Erkenntnis hält bis heute (11.04.2021) an. 

Appell an Geschäftsführer

Wir können nur jedem Administrator wünschen, dass er so wie wir genügend Zeit hat, seine betreuten Systeme 24/7 zu monitoren und gute, stabile Sicherheitskonzepte zu entwickeln, die er dann entweder selbst testen kann oder einmal im Jahr durch entsprechende Unternehmen testen lässt. Und wenn er das nicht kann, dann wünschen wir dem Administrator, dass die Geschäftsleitung erkennt, wie wichtig finanzielle Mittel sind, um Systeme sicher zu gestalten.
Anders wird es keine Möglichkeit geben, im Fall einer solchen Katastrophen nicht zu Kunden oder dem Chef laufen zu müssen, um mitzuteilen, dass Server verschlüsselt und alle Daten der Postfächer inklusive Administrator-Passwörter abgezogen wurden.

Nützliche Link:

https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/
https://krebsonsecurity.com/2021/03/a-basic-timeline-of-the-exchange-mass-hack/
https://www.msxfaq.de/exchange/update/hafnium-nachbereitung.htm
https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2021/2021-197772-1132.pdf?__blob=publicationFile&v=5
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Cyber-Sicherheit/Vorfaelle/Exchange-Schwachstellen-2021/MSExchange_Schwachstelle_Detektion_Reaktion.pdf?__blob=publicationFile&v=6
https://www.heise.de/news/Der-Hafnium-Exchange-Server-Hack-Anatomie-einer-Katastrophe-5077269.html