Jaja, Exchange ist nur eine Mail-Programm. Wenn man die Medien so zu den Hafnium-Angriffen hört, wird einem schlecht. Das kann doch nicht euer Ernst sein! Dabei ist gerade einiges im Busch, das wohl Microsoft auch nicht aller Tage erlebt. Und aus dem Support bei Microsoft hört man derzeit, dass die Mitarbeiter dort gewaltig überschwemmt werden mit Support-Anfragen. Diese Nummer ist ein Desaster sonders Gleichen. Ich hoffe, dass in der danach zu erfolgenden Nachbetrachtung ermittelt werden kann, wie das eigentlich passieren konnte.
Was ist denn Hafnium?
Ich hatte ja bereits einen ersten Artikel zum Thema verfasst. Aber wie das eben immer so ist: Mit der Zeit kommt immer mehr raus. Ich hatte in dem Artikel davon erzählt, dass eine mutmaßlich aus chinesischen Regierungskreisen geförderte Gruppe von Hackern Sicherheitslücken beim Exchange Server ausnutzt. Genau gesagt, handelt es sich darum:
- CVE-2021-26855: Gefälschte serverseitige Requests ermöglichen es Angreifern, beliebige HTTP-Anfragen zu senden und sich als Exchange-Server zu authentifizieren.
- CVE-2021-26857: Eine Schwachstelle im Unified Messaging, mit der HAFNIUM Code als SYSTEM auf dem Exchange-Server ausführen konnte. Dies erfordert Administratorrechte oder eine andere Schwachstelle zum Ausnutzen.
- CVE-2021-26858: Mit dieser Lücke konnten beliebige Daten geschrieben werden. Beliebige Dateien konnten in beliebige Verzeichnisse geschrieben werden und Administratoren-Kennwörter ermittelt werden.
- CVE-2021-27065: Dafür gelten die gleichen Warnungen.
Es ist also ziemlich kritisch, was da passiert ist. Die Angreifer rücken Unternehmen und Organisationen aus verschiedenen Branchen auf die Pelle. Hotspots sind wohl die USA und Deutschland. Dabei haben sie schon früher mit dem Internet verbundene Server angegriffen. Dafür wurden Open-Source-Frameworks wie Covenant für die Steuerung verwendet und die gewonnenen Daten auf File-Sharing-Sites wie MEGA abgelegt.
Kann ich feststellen, ob mein Exchange Server angegriffen wurde?
Microsoft hat einen Scanner im Angebot. Damit ist es möglich, Exchange-Server-Instanzen auf eine Infektion zu überprüfen. Außerdem erkennt der Windows Defender mit aktualisierten Signaturdateien die Schadsoftware. Darüber hinaus hat Microsoft hier Scripte zur Verfügung gestellt, um zu ermitteln, ob der jeweilige Server infiziert ist. Ob ein Exchange Server von Hafnium angegriffen wurde, hat Microsoft hier anschaulich erarbeitet.
Es reicht also unterm Strich nicht, die Patches wegen Hafnium nun fix zu installieren. Was ist denn, wenn vorher bereits ein Angriff und eine Infektion erfolgte? Microsoft empfiehlt dringend eine forensische Analyse. Wir wissen aus unserem Umfeld, dass hierzu ein enormer Bedarf besteht. Das läuft praktisch so ab, dass man mit den Scripten den Angriff feststellt. Dazu steht das Script Test-ProxyLogon.ps1 zur Verfügung, das man oben bei den Scripten herunterladen kann.
Wenn man den entsprechenden Patch bereits installiert hat, hat man das Loch zwar gestopft. Aber die verdächtigen Dateien sind ja an Bord. Was dann? Momentan laufen da viele Aktionen im Hintergrund. Ob bei Microsoft selbst oder bei Dienstleistern. Es muss ja eine umfassende Bereinigung erfolgen. Andernfalls werden Unternehmen, Behörden, Organisationen noch sehr lang mit Hafnium beschäftigt sein. Denn die Angreifer könnten eine Hintertür eingebaut haben.
Eine absolute Sicherheit gibt es nicht
Jetzt könnte ich ja hergehen und behaupten: Wenn man nur alles immer hübsch aktuell hält und nur das zulässt, was notwendig ist, dann wird schon nichts passieren. Ich kann wohl behaupten, dass die allermeisten unserer Kunden extrem vorsichtig sind und Systeme wie Exchange Server nicht direkt ans Internet hängen. Also zeigt sich hier zum wiederholten Mal, dass man keine absolute Sicherheit erwarten kann.
Wenn das also stimmt mit der Hintertür – und danach sieht es aus – muss man sich über noch ganz andere Dinge Gedanken machen. Denn folgende Bedrohungen im Zusammenhang mit Hafnium soll der Windows Defender bereits festgestellt haben, darunter die eine oder andere Backdoor:
- Exploit:Script/Exmann.A!dha
- Behavior:Win32/Exmann.A
- Backdoor:ASP/SecChecker.A
- Backdoor:JS/Webshell (not unique)
- Trojan:JS/Chopper!dha (not unique)
- Behavior:Win32/DumpLsass.A!attk (not unique)
- Backdoor:HTML/TwoFaceVar.B (not unique)
Jetzt gilt es, Active Directory, das interne Netzwerk, sämtliche Systeme mit User-Zugriff zu untersuchen. Das ist ein enormer Aufwand. Ob man dann aber ohne Langzeitschäden in der Umgebung davon kommt, bleibt abzuwarten. Allerdings ist es auch so, dass niemand sagen kann, ob es mit Wettbewerbern oder mit der Cloud anders sein würde. Microsoft sagt zwar, dass mit Microsoft 365 derartiges nicht bekannt ist, aber kann man da wirklich sicher sein?
„oder mit der Cloud anders sein würde. Microsoft sagt zwar, dass mit Microsoft 365 derartiges nicht bekannt ist, aber kann man da wirklich sicher sein?“
Viele Unternehmen werden sich jetzt die Frage stellen, ob die eigenen IT-Resourcen und selbst der IT-Dienstleister um die Ecke wirklich in der Lage sind, alle On-Premise Systeme auf den aktuellen Stand zu halten und Entwicklung frühzeitig und nicht erst wenn es zu spät ist zu erkennen. Zweifellos hat Microsoft mit seinem spezialisiertem Team für den Betrieb von Exchange Online ganz andere Möglichkeiten – sowohl seitens Know-How, als auch Reaktionsvermögen. Davon profitieren kleine wie auch große Kunden gleichermaßen. Es muß daher schon ganz besondere Gründe geben – wie z.B. gesetzliche Auflagen – heute wirklich noch selbst einen Exchange-Server zu betreiben. Ein diffuses Unsicherheitsgefühl gegenüber „der Cloud“ hat in der heutigen IT eigentlich nichts mehr zu suchen. Wer weiterhin als IT-Verantwortlicher ein ungutes „Bauchgefühl“ hat, sollte sich langsam weiterbilden und handeln.
Hi Henning,
das technische Thema hinter Hafnium – na ja, da sollen sich die Profis mit befassen. Angriffe auf Systeme gab es schon immer. Und jedem muss klar sein: wenn ein Rechner eine Verbindung zum Internet hat, ist er gefährdet.
Was mich hier aber beunruhigt ist, dass ein Staat (bzw. Regierungsoberhaupt, Geheimdienst?) dahintersteckt. Klar, die US-Boys mit Ihrer NSA (wer erinnert sich nicht an die Handy-Affäre von Merkel) sind nicht besser.
Aber zwischen abhören und selber aktiv Schadcode implementieren, ist schon ein Unterschied – das ist schon eine heftige Nummer.
Ich frage mich auch, was damit erreicht werden soll?
Das China nicht interessiert, was Du und ich in ihren Mails an die Tante Trude aus Buxtehude schreiben ist klar. also, was ist die Intention?
Wird eventuell schon der Angriff auf Regierungsserver geplant um im Falle eines … ich wage es gar nicht auszusprechen… Krieges, gefälschte Mails zwischen Führungsstab und Armee-Teilen zu versenden um eine Verteidigung auszuhebeln?
Seit HUAWEI wissen wir dass Staatsführung und Konzerne miteinander verwoden sind. Ich denke den massiven Angriff von Amerika auf den Konzern hat die chinesische Staatsführung persönlich genommen und zur Chefsache erklärt.
Und die nächste Frage: wie wirkt sich das auf die Handelsbeziehungen mit China aus?
Ich bin etwas beunruhigt.. Säbelrasseln macht mich mich immer hibbelig..