PSW Group zum Microsoft Exchange-Server Hack
Unternehmen und Behörden müssen handeln
Fortsetzung des Artikels von Teil 1
Was ist überhaupt passiert?
Die Sicherheitsfirma Volexity beobachtete bereits am 6. Januar 2021 Angriffe über eine bis dato nicht veröffentlichte Exchange-Schwachstelle. Im Lauf der darauf folgenden Wochen gab es einzelne Angriffe auf ausgesuchte Exchange-Server. Microsoft plante die Veröffentlichung eines Sicherheits-Patches für den 9. März. Jedoch begann am 26. Februar die chinesische Hafnium-Hacker-Gruppe mit Massenscans: Exchange-Server, die verwundbar waren, wurden automatisch mit einer Webshell infiziert. Mit dem 2. März veröffentlichte Microsoft Sicherheits-Updates – und nur wenige Stunden nach Veröffentlichung dieser außerplanmäßigen Updates und der inzwischen vier bekannten Schwachstellen - begann die beispiellose Infektion sämtlicher via Internet erreichbaren ungepatchten Exchange-Server. Dies führte dazu, dass Administratoren kaum eine Möglichkeit hatten, zu reagieren.
Die Sicherheitslücke wird nach BSI-Informationen von mindestens zehn verschiedenen APT-Gruppen massenhaft ausgenutzt. Diese Gruppen – mit Ausnahme einer, die mit Kryptomining in Verbindung gebracht wird – werden laut BSI „im Kontext der Informationsbeschaffung gesehen“. „Es geht also um Spionage. Hat ein Angreifer Zugriff auf den Exchange-Server einer Organisation, so kann dieser Informationen stehlen und diese beispielsweise für betrügerische E-Mails nutzen“, erklärt Schrenk.
- Unternehmen und Behörden müssen handeln
- Was ist überhaupt passiert?
- Patchen, Aktivitäten scannen und Vorfälle melden
Lesen Sie mehr zum Thema
