Das ganze Ausmass des Schadens ist nicht absehbar, doch haben zahlreiche Schweizer Unternehmen und Organisationen mit gefährlichen Hackerangriffen auf Exchange-Server zu kämpfen. Diese Microsoft-Software ist weit verbreitet und wird von kleinen- und mittelständischen Firmen (KMU) über Behörden bis zu grossen Unternehmen genutzt.
Gemäss den IT-Sicherheitsexperten von Kaspersky gehört die Schweiz zu den fünf am schlimmsten betroffenen Ländern weltweit. In einem österreichischen Bericht ist von «tickenden Zeitbomben» die Rede. In Deutschland wurde die Sicherheitswarnstufe 4 (rot) ausgegeben – die höchste, die es gibt.
Ein Überblick:
Das Bedrohungspotenzial ist gross, weil es sich bei den Angriffsmethoden um sogenannte Zero Day Exploits handelte und die existierenden Sicherheitslücken in Microsofts Exchange-Software nicht überall sofort per Update geschlossen wurden. Im Prinzip konnten Kriminelle während längerer Zeit unerkannt in geschützte Systeme eindringen.
Hunderttausende Exchange Server in Europa könnten kompromittiert worden sein und dadurch anfällig sein für Ransomware-Attacken oder Datendiebstahl. Das Problem: Kriminelle konnten in Server eindringen und heimlich Tools (sogenannte Webshells) installieren, um sich später erneut Zugriff zu verschaffen. In der Folge könnte Werkspionage betrieben werden und Know-how an die Angreifer abfliessen, Produktionsanlagen könnten zum Stillstand kommen.
Gegenüber inside-it.ch bestätigte die zuständige Schweizer Behörde NCSC (Nationales Zentrum für Cybersicherheit), gefährdete Organisationen gewarnt zu haben. Und offenbar sind auch bereits Angriffe gemeldet worden.
Laut der Pressesprecherin der beim Eidgenössischen Finanzdepartements (EFD) angesiedelten Behörde, seien «sämtliche Betreiber der kritischen Infrastrukturen in der Schweiz, zu welchen auch Behörden zählen», informiert worden. Man habe auf die Dringlichkeit hingewiesen, die verfügbaren Patches so schnell wie möglich einzuspielen. Microsoft habe alle Kunden über die Sicherheitslücke informiert.
Auch die Europäische Bankenaufsicht EBA hat wegen der Hackerangriffe auf Microsofts E-Mail-Programme ihre Sicherheitsmassnahmen verschärft. Die Untersuchungen würden fortgesetzt, teilte die Behörde am Montag mit. Bislang gebe es keine Hinweise auf einen Datenabfluss.
Am Sonntag hatte die EBA mitgeteilt, wegen des Angriffs ihr E-Mail-System vom Netz genommen zu haben. Es war befürchtet worden, dass Kriminelle heimlich die E-Mails von Mitarbeitenden mitlesen konnten.
In den USA wurden Netzwerkbetreiber am Wochenende aufgefordert, zu untersuchen, ob ihre Systeme angegriffen wurden. Wie die Nachrichtenagentur Reuters berichtete, ging man in Washington von einer «aktiven Bedrohung» aus, die sich immer noch entwickle und sehr ernst zu nehmen sei.
Die Schweiz gehört gemäss der IT-Sicherheitsfirma Kaspersky zu den weltweit am stärksten betroffenen Ländern.
Fast 5 Prozent (4,81%) der attackierten Nutzerinnen und Nutzer stammten aus der Schweiz. Seit Anfang März habe Kaspersky 1200 Angriffe wahrgenommen, welche die Schwachstellen in den Exchange-Servern ausnützten.
26,93 Prozent der Betroffenen stammten laut Kaspersky aus Deutschland, weiter seien Italien (9,00), Österreich (5,72) und die USA (4,73 Prozent) am stärksten betroffen.
Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) hatte in der vergangene Woche erklärt, in Deutschland seien vermutlich Zehntausende Exchange-Server über das Internet angreifbar «und mit hoher Wahrscheinlichkeit bereits mit Schadsoftware infiziert».
Am Montag bestätigte die zuständige Bundesbehörde, dass bis zu 58'000 Systeme betroffen sein könnten.
Aktuell werden in Deutschland ca. 63.000 #Exchange Server mit offen aus dem Internet erreichbarem #OWA betrieben. Davon sind mindestens 26.000 für die aktuellen kritischen #Schwachstellen (CVE-2021-26855 et al.) verwundbar, potenziell bis zu 58.000 Systeme. Details siehe Grafik. pic.twitter.com/o7bmPGmBHT
— CERT-Bund (@certbund) March 8, 2021
In Österreich sind (oder waren) laut Medienberichten rund 7500 Microsoft Exchange Server ungeschützt im Netz – und damit wahrscheinlich bereits angegriffen worden.
Microsoft hatte am 2. März ausserplanmässige Sicherheits-Updates für Microsoft Exchange Server veröffentlicht. Der Windows-Konzern liess verlauten, man schliesse damit mehrere Schwachstellen, die bereits für gezielte Angriffe ausgenutzt worden seien, wie es in einem Blogbeitrag hiess.
Betroffen ist demnach Microsoft Exchange Server in den Versionen 2010, 2013, 2016 und 2019.
Laut Hersteller könne ein Angriff über eine ungesicherte Verbindung zum Exchange Server über Port 443 lanciert werden. Wer diesen Port absichere, sei dennoch nicht von weiteren Angriffsszenarien gefeiht, hiess es im Firmenblog.
Microsoft empfahl, prioritär die Server zu aktualisieren, die extern (übers Internet) erreichbar waren. Letztendlich sollten jedoch alle betroffenen Server aktualisiert werden.
Zunächst einmal gilt es für die Server-Verantwortlichen herauszufinden, ob ihre Systeme angegriffen wurden.
Microsoft hat am vergangenen Samstag ein Tool veröffentlicht, das Hinweise auf erfolgreiche Hackerangriffe (Indicators of Compromise, IOC) erkennen soll. Es handelt sich laut Berichten um ein Skript, mit dem Server-Administratoren prüfen sollen, ob Kriminelle in ihr System eindrangen. Das gab die US-amerikanische Cybersecurity & Infrastructure Security Agency (CISA) am Montag bekannt.
Die CISA verlinkt auf ihrer Website auf das Tool, das Microsoft am 6. März veröffentlicht und seither aktualisiert hat. Es durchsucht Log-Dateien von Exchange-Servern. Das Skript ist auf Github veröffentlicht worden.
Die US-Behörde warnt:
Microsoft hat laut Berichten zahlreiche Informationen zu den Schwachstellen veröffentlicht – mit Handlungsempfehlungen für Administratoren. Diese Informationen würden immer wieder aktualisiert, heisst es. Die Sicherheitsupdates für die betroffenen Exchange-Server findet man hier. Im entsprechenden Microsoft-Blog (The Exchange Team) findet man Antworten auf viele Fragen zu den Sicherheits-Updates.
Am 2. März berichteten erste Unternehmen, dass bei ihnen eine Zero-Day-Sicherheitslücke bei Exchange-Servern ausgenutzt worden sei, um einzudringen. «Zero Day» bedeutet, dass die Schwachstelle nicht öffentlich bekannt war und mutmasslich auch der Hersteller nicht davon wusste.
In der selben Nacht veröffentlichte Microsoft bereits Notfall-Updates (Patches), mit denen sich die Lücken schliessen liessen. Doch für viele Unternehmen war es da zu spät, denn ihre Systeme waren bereits kompromittiert worden, die Schwachstelle bereits aktiv ausgenutzt worden.
Laut Microsoft stammen die Angriffstools von der Hackergruppe Hafnium, die wahrscheinlich im Auftrag der chinesischen Regierung arbeite. Peking bestritt hingegen jede Beteiligung. Schon bei der Veröffentlichung der Patches hatte Microsoft gewarnt, dass schnell weitere Hacker versuchen würden, ungepatchte Exchange-Server zu knacken.
Mit Material der Nachrichtenagentur SDA
Man kann nur hoffen, dass jedes Unternehmen o.a welche betroffene Systeme unterhalten, auch einen guten IT Support haben, welcher hier immer Up to date ist und die Schwachstelle bereits beheben konnte.
Dort wo man dies nicht für nötig hält oder der Mitarbeiter den letzten MS Kurs vor 3 Jahren gemacht hat oder sich auch sonst nicht für aktuelle Entwicklungen interessiert, tja, leider Pech gehabt!
Riskante Systeme müssen IMMER aktuell sein!
EU: Lass uns sichere Verschlüsselungen verbieten.