Unternehmen, die zu Beginn dieser Woche Post vom Bundesamt für Sicherheit in der Informationstechnik (BSI) bekommen, sollten den Brief besser nicht allzu lange ignorieren: Denn Zehntausende deutsche Firmen sind von einer Sicherheitslücke in Microsofts Mailserver-Software „Exchange“ betroffen.
Bei 9000 von ihnen schätzt das Bundesamt die Bedrohung durch Hacker, die die Lücke bereits ausnutzen, so hoch ein, dass sie per klassischer Post warnen – E-Mails könnten nicht mehr ankommen, von Angreifern abgefangen und mitgelesen werden.
„IT Bedrohungslage 4/ ROT“ steht über dem Warnschreiben des Amtes, darin warnen die Experten vor den Folgen einer Lücke, die Microsoft bereits vergangene Woche mit mehreren Updates schließen wollte. Aber zu diesem Zeitpunkt war es für viele betroffene Firmen und Behörden weltweit bereits zu spät. „Laut der Server-Suchmaschine Shodan betrifft die Schwachstelle potenziell etwa 57.000 Server in Deutschland“, schreibt das BSI in seiner Analyse.
Am 2. März hatte Microsoft vier Updates für seine Exchange-Server-Software 2013 bis 2019 veröffentlicht – das Einsatzsignal für mehrere Hackergruppen, sich sofort weltweit auf die Suche nach den Servern zu machen, deren Administratoren nachlässig waren und die Lücke nicht schnellstmöglich schlossen.
Hacker einer bislang unbekannten chinesischen Gruppe, die von Microsoft „Hafnium“ getauft wurde, nutzten die Lücke laut einer Recherche des US-Sicherheitsexperten Brian Krebs bereits länger aus: Die Chinesen übernahmen innerhalb weniger Tage seit Ende Februar allein in den USA über 30.000 Mailserver, weltweit dürften mehrere Hunderttausend Maschinen betroffen sein.
Laut einer Analyse der Spezialisten der Bostoner Sicherheitsfirma Rapid7 ist Deutschland neben den USA am schwersten von den Angriffen betroffen. Das prominenteste Opfer des Hacks ist die Europäische Bankenaufsicht. Die Pariser Behörde teilte mit, dass die Administratoren die internen Mailserver vom Netz nehmen mussten.
Leck besteht seit dem 6. Januar
Der Angriff dürfte automatisiert erfolgt sein – die Sicherheitslücken erlaubten den Hackern, auf den Servern eine eigene Kontrollsoftware zu installieren, eine sogenannte Web Shell. Betroffene Server können anschließend einfach per Internetbrowser angesteuert und kontrolliert werden.
Die rechtmäßigen Besitzer dagegen können nur noch physisch den Netzwerk-Stecker ziehen. Das ist einfach, wenn der betroffene Server im eigenen Serverraum steht, schwierig, wenn eine betroffene Firma den Server in irgendeinem Rechenzentrum auf einem anderen Kontinent betreiben lässt.
Microsoft selbst fand in seiner Analyse heraus, dass die Angreifer zunächst wahllos die Lücke ausnutzten, um erst einmal einen virtuellen Fuß in die Tür zu bekommen, solange die nicht per Update geschlossen wurde. Anschließend machten sich die Hacker daran, Mailkonten zu kopieren und auszuwerten.
Ziel waren dabei laut Microsoft US-Forschungseinrichtungen mit Projekten zur Corona-Pandemie sowie Hochschulen, Großkanzleien, Unternehmen der Rüstungsbranche sowie Thinktanks und NGOs.
Laut Microsoft wurde der Fehler von IT-Sicherheitsforschern der Firma Volexity im US-Bundesstaat Virginia bereits Anfang Januar entdeckt. Die Volexity-Forscher warnten Microsoft – und fanden heraus, dass die chinesischen Hacker bereits mindestens seit dem 6. Januar möglichst unauffällig und in wenigen wohlbedacht ausgewählten Firmen und US-Regierungsorganisationen die E-Mails mitlasen.
„Malware zur Langzeit-Persistenz installiert“
Volexity warnte daraufhin betroffene US-Organisationen, diese nahmen ihre Server vom Netz. Microsoft reagierte ebenfalls verdeckt und begann damit, an einem Update für sein Exchange-Programm zu arbeiten. Doch Ende Februar merkten auch die Hacker, dass sie bemerkt worden waren – und starteten prompt eine weltweite automatisierte Suche nach vulnerablen Servern.
Zu diesem Zeitpunkt mussten sie nicht länger unauffällig bleiben, stattdessen wollten sie die verbleibende Zeit bis zu einem Update nutzen, um so viele Server wie möglich weltweit zu kompromittieren und eigene Software zu hinterlassen, die auch nach den Updates weiter aktiv bleibt. „Bei den beobachteten Angriffen wurde hierüber Zugang zu den E-Mail-Accounts erlangt sowie weitere Malware zur Langzeit-Persistenz installiert“, warnt das BSI die Opfer.
Denen bleibt dann nur noch, die Server vom Netz zu nehmen, forensisch zu untersuchen und bei bloßem Verdacht die gesamte Software neu aufzusetzen. Das zumindest empfiehlt die Cybersecurity and Infrastructure Security Agency (CISA), das US-Pendant zum BSI, potenziellen Opfern.
Microsoft stellte dafür bereits ein Werkzeug zur Verfügung. Doch das hilft denjenigen Firmen und Organisationen nur wenig, deren Mails bereits in China gelesen wurden. Sie müssen sich nun darauf einrichten, dass ihre Firmengeheimnisse, Informationen über aktuelle Projekte und künftige Vorhaben, über Gesetzgebungsverfahren oder künftige Produktinnovationen auch in China bekannt sind.
Chinesische Staatshacker waren bei Sicherheitszwischenfällen in der Vergangenheit meist darauf aus, westliche Wirtschaftsgeheimnisse zu erforschen.
Die Hackergruppen, die meist dem chinesischen Militär angehören oder diesem zuarbeiten, wissen genau, wonach sie suchen – von den Informationen aus den Hacks profitieren regelmäßig auch chinesische Unternehmen, in Hacks in den vergangenen Jahren etwa im Bereich der Chipindustrie, der Rüstungsindustrie und der Rohstoffexploration.
Artikel von & Weiterlesen ( Datenleck bei Microsoft: Chinesische Hacker kapern 57.000 deutsche Server - WELT )https://ift.tt/2OxnpvR
Wissenschaft & Technik
Bagikan Berita Ini
0 Response to "Datenleck bei Microsoft: Chinesische Hacker kapern 57.000 deutsche Server - WELT"
Post a Comment