Hafnium: Microsoft Exchange-Sicherheitsupdate zum Schutz vor neuen nationalstaatlichen Attacken verfügbar

Hafnium: Microsoft Exchange-Sicherheitsupdate zum Schutz vor neuen nationalstaatlichen Attacken verfügbar

Heute teilen wir zum ersten Mal Informationen über einen neuen staatlich unterstützten Bedrohungsakteur, der vom Microsoft Threat Intelligence Center (MSTIC) identifiziert wurde und den wir Hafnium nennen. Hafnium operiert aus China und ist ein sehr versierter und hochentwickelter Akteur.

In der Vergangenheit hatte es Hafnium vor allem auf Organisationen in den USA abgesehen, um Informationen aus verschiedenen Industriezweigen abzugreifen, darunter Forschungseinrichtungen für Infektionskrankheiten, Anwaltskanzleien, Hochschulen, Verteidigungsunternehmen, politische Think Tanks und Nichtregierungsorganisationen (NGOs). Obwohl Hafnium seinen Sitz in China hat, führt er seine Operationen hauptsächlich von gemieteten virtuellen privaten Servern (VPS) in den Vereinigten Staaten aus.

In jüngster Zeit hat Hafnium eine Reihe von Angriffen mit bisher unbekannten Exploits durchgeführt, die auf lokale Exchange Server-Software abzielen. Bislang ist Hafnium der Hauptakteur, der diese Exploits verwendet hat. Detaillierte Informationen dazu hat das MSTIC hier bereitgestellt. Die Angriffe umfassen drei Schritte:

1. Hafnium verschafft sich Zugang zu einem Exchange Server, entweder mit gestohlenen Passwörtern oder indem er zuvor unentdeckte Schwachstellen nutzt, um sich als jemand auszugeben, der oder die eigentlich Zugang haben sollte. Organisationen können sich davor schützen, indem sie vertrauenswürdige Verbindungen einschränken oder einen VPN einrichten, um den Exchange Server vom externen Zugriff zu trennen. Diese Maßnahmen können jedoch nur vor dem ersten Schritt eines Hafnium-Angriffs schützen. Die weiteren Angriffsschritte können ausgelöst werden, wenn ein Angreifer bereits Zugriff hat oder eine*n Administrator*in dazu bringen kann, eine schädliche Datei auszuführen.
2. Dann erstellt Hafnium eine sogenannte Web-Shell, um den kompromittierten Server aus der Ferne zu steuern.
3. Den Fernzugriff nutzt Hafnium - ausgeführt von den privaten Servern in den USA -, um Daten aus dem Netzwerk einer Organisation zu stehlen.

Um unsere Kunden vor Angriffen durch Hafnium zu schützen, konzentrieren wir uns auf die Exploits, die sie erst möglich machen. Dazu haben wir Sicherheitsupdates veröffentlicht, mit denen wir unsere Kunden schützen, die Exchange Server einsetzen. Wir wissen, dass nationalstaatliche Akteure und kriminelle Gruppen sehr schnell agieren, um ungepatchte Systeme auszunutzen. Die sofortige Installation der heutigen Patches ist der beste Schutz gegen diesen Angriff. Wir raten daher allen Exchange Server-Kunden, diese Updates sofort zu installieren. Exchange Server wird in erster Linie von Geschäftskunden verwendet. Aktuell liegen uns keine Hinweise dazu vor, dass die Angriffe von Hafnium auf einzelne Verbraucher*innen abzielen oder dass sie andere Microsoft-Produkte betreffen.

Neben diesen neuen Schutzmaßnahmen für unsere Kunden haben wir auch die zuständigen US-Regierungsstellen über die Aktivitäten von Hafnium informiert. Dies ist das achte Mal in den letzten 12 Monaten, dass Microsoft die Angriffe von nationalstaatlichen Hackergruppen auf zivilgesellschaftliche Institutionen aufgedeckt hat. Dazu gehörten u.a. Angriffe auf Gesundheitsorganisationen, die gegen Covid-19 kämpfen, auf politische Kampagnen im Kontext der Wahlen 2020 und auf hochkarätige Teilnehmer*innen von wichtigen politischen Konferenzen.

Wir freuen uns sehr darüber, dass viele Organisationen freiwillig ihre sicherheitsrelevanten Daten teilen - untereinander und mit staatlichen Institutionen, die sich für den Schutz vor Cyberbedrohungen einsetzen. Unser Dank geht an die Forschenden von Volexity und Dubex, die uns über Aspekte dieser neuen Hafnium-Aktivitäten informiert und mit uns zusammengearbeitet haben, um die Angriffe auf verantwortungsvolle Weise zu behandeln. Informationen über Cyberangriffe müssen in großem Umfang und schnell weitergegeben werden, damit wir alle in der Lage sind, uns besser gegen sie zu verteidigen. Aus diesem Grund hat Microsoft-Präsident Brad Smith vor kurzem vor dem US-Kongress erklärt, dass wir Schritte unternehmen müssen, um eine Meldepflicht für Cybervorfälle einzuführen.

Die Exploits, über die wir heute sprechen, standen in keinem Zusammenhang mit den Angriffen auf SolarWinds. Wir sehen weiterhin keine Beweise dafür, dass der Akteur hinter SolarWinds eine Sicherheitslücke in Microsoft-Produkten und -Diensten entdeckt oder ausgenutzt hat.

Weitere Informationen und Ressourcen sowie Update Guidance gibt es in diesen englischen Beiträgen:

• Multiple Security Updates Released for Exchange Server - Microsoft Security Response Center
• Released: March 2021 Exchange Server Security Updates - Microsoft Tech Community
• HAFNIUM targeting Exchange Servers with 0-day exploits - Microsoft Security

Mehrere Sicherheitsupdates für Exchange Server veröffentlicht

Zum Schutz unserer Kunden vor Hafnium haben wir Sicherheitsupdates veröffentlicht, die Exchange Server-Kunden unverzüglich installieren sollten. Betroffenen Kunden empfehlen wir nicht mit dem Einspielen der verfügbaren Updates zu warten. Microsoft Exchange Online Kunden sind nicht betroffen. Weitere Informationen dazu bietet dieser Beitrag.

Die Schwachstellen betreffen Microsoft Exchange Server 2013, 2016 und 2019. Auch für Microsoft Exchange Server 2010 haben wir zum Schutz einen Patch veröffentlicht. Exchange Online ist von den Angriffen nicht betroffen.

Diese Schwachstellen werden als Teil einer Angriffskette genutzt. Der erste Angriff erfordert die Fähigkeit, eine nicht vertrauenswürdige Verbindung zum Exchange-Server-Port 443 herzustellen. Dagegen kann man sich schützen, indem man nicht vertrauenswürdige Verbindungen einschränkt oder ein VPN einrichtet, um den Exchange-Server vom externen Zugriff zu trennen. Dies schützt allerdings nur vor dem ersten Teil des Angriffs; andere Teile der Kette können ausgelöst werden, wenn ein Angreifer bereits Zugriff hat oder eine*n Administrator*in überzeugen kann, eine schädliche Datei auszuführen.

Wir empfehlen, die Updates vorrangig auf Exchange-Servern zu installieren, die nach außen gerichtet sind. Letztendlich sollten alle betroffenen Exchange Server aktualisiert werden.

Kunden, die Unterstützung bei der Aktualisierung ihrer Exchange Server benötigen, können sich an ihren bekannten Microsoft Ansprechpartner oder aber an einen zertifizierten Microsoft Partner wenden. Sollten Sie noch nicht mit einem Microsoft Partner in Kontakt sein, so können Sie über die Partnersuche einen Partner finden.

Ein Beitrag des Microsoft Security Threat Response Teams

Tags: Cyber-Angriffe, Cyber-Security, Cybercrime, Cybersecurity

Public link

Please use the above public link if you want to share this noodl on another website.