Hafnium geht um

Als die ersten Details vom SolarWinds-Hack durch die Medien zogen, dachte jeder: Jetzt ist der Super-GAU passiert! Aber getreu der Devise „Wenn Du denkst es geht nicht mehr, kommt von irgendwo eine noch größere Katastrophe her“ sind die traditionellen und sozialen Medien voll von „Hafnium“. So hat Microsoft einen Hacker-Angriff genannt, der Schwachstellen in Microsoft Exchange (on-premise) ausnutzt. Offensichtlich mit viel Erfolg, denn die Rede ist von mehreren 100.000 gehackten Organisationen weltweit, davon mindestens 30.000 in den USA. Dagegen sind die 18.000 theoretischen Hacking-Opfer des SolarWind-Vorfalls tatsächlich Kleinvieh. Einschätzungen mehrerer Sicherheitsanalysten zufolge sind alle Exchange Server, die aus dem Internet erreichbar waren, betroffen. Auf jedem Server wurden die Sicherheitslücken ausgenutzt, um mindestens eine Backdoor zu installieren, die späteren wahlfreien Zugriff auf den Server ermöglicht. In einer mit Bangen erwarteten zweiten Welle werden Cyberkriminelle über diese Backdoor beispielsweise Ransomware oder andere Schadsoftware installieren. Weil Exchange Server häufig mit erhöhten Rechten betrieben werden, eignen sich die Server auch als aussichtsreiches Sprungbrett für Seitwärtsbewegungen (lateral Movement) im Netz, um weitere Systeme anzugreifen.

Wer ist Hafnium?

Das Microsoft Threat Intelligence Center (MSTIC) hat die Sicherheitslücken und die damit verbundenen Angriffe am 2. März öffentlich gemacht. Microsoft weist die Aktionen einer bisher unbekannten Hackergruppe namens Hafnium zu, die vermutlich ein state-sponsored Akteur in China ist. Hafnium spähte zunächst recht unauffällig gezielt einzelne Server aus. Darunter waren Organisationen wie medizinische Forschungseinrichtungen, Anwaltskanzleien, NGOs und Think Tanks. Sie nutzten dazu vier Zero-Day Lücken in Microsoft Exchange, über die Microsoft Anfang Januar 2021 informiert wurde. Allerdings müssen Hafnium und andere kriminelle Gruppen von den bevorstehenden Patches erfahren haben und verstärkten ihre Bemühungen. Ab Ende Februar vermerkten die Analysten, die betroffene Kunden betreuten, dass der Netzverkehr mit den 0-Day-typischen Mustern extrem zunahm und nun im Prinzip jeden aus dem Internet erreichbaren Exchange Server zum Ziel hatte. Sicherheitsanalysten haben schon einzelne Systeme mit bis zu acht verschiedenen Backdoors gefunden, was darauf hindeutet, dass die, ursprünglich nur einem Angreifer bekannte Sicherheitslücke, nun von mehreren konkurrierenden Gruppen attackiert wird.

Schnelles Handeln ist unerlässlich

Die Situation wird nun – trotz vorhandener Patches – als so dramatisch gesehen, dass das BSI die "IT-Bedrohungslage rot" ausgerufen hat. Weltweit sind hunderttausend Exchange-Server bereits kompromittiert. In Deutschland sind es zehntausende und es werden stündlich mehr. Um weitere Infektionen zu vermeiden, ist es unbedingt erforderlich, alle aus dem Internet erreichbaren Exchange-Server sofort zu patchen. Betroffen sind alle Exchange-Server Versionen, beginnend mit Exchange Server 2010, wenn auch nicht alle im gleichen Umfang. Das bedeutet, dass die entsprechenden Schwachstellen seit über 10 Jahren in der Codebase von Microsoft schlummerten. Es ist kaum vorstellbar, dass sie nicht schon vorher für gezielte Angriffe ausgenutzt wurden.

Neben der automatischen Patch-Verteilung über Windows Server Update Services stehen entsprechenden Tools für die manuelle Installation zur Verfügung. Noch ein Hinweis für Administratoren in deren Netz die Cloud-Version von Exchange läuft. Während die Cloud-Instanzen nicht verwundbar sind, wurden viele dieser Installationen in einem Hybrid-Modell aufgebaut, so dass es on-premise weitere lokale Exchange-Server gibt. Diese sollten zwar nicht direkt aus dem Internet erreichbar sein, die Erfahrung zeigt aber, dass es trotzdem solche Fälle gibt.

Sowohl Microsoft als auch die Sicherheitsfirma Volexity, die zwei der vier 0-Days als erste entdeckten, haben umfassende Zusammenfassungen der Angriffe zusammengestellt und veröffentlicht. Auch die dänische Sicherheitsfirma Dubex fand weitere 0-Days, die bei ihren Kunden angewendet wurden und gab sie Mitte Januar an Microsoft weiter. Es handelt sich im Detail um CVE-2021-26855 eine „Serverseitige-Anfragefälschung“ mit denen ein Exchange-Server dazu gebracht werden kann, Befehle auszuführen, die er nie hätte ausführen dürfen. Mit der CVE-2021-26857 konnten Kommandos unter dem „System“ Account ausgeführt werden, während die beiden anderen CVEs — CVE-2021-26858 und CVE-2021-27065 — Angreifer gestatten, Dateien an beliebiger Stelle im Betriebssystem abzulegen.

Was Administratoren nun tun sollten

Patchen ist sicherlich das Gebot der Stunde, aber damit ist es nicht getan. Wurde der Server bereits kompromittiert, wovon Administratoren ausgehen sollten, müssen die Systeme auf Backdoors untersucht oder gleich neu aufgesetzt werden. Die Logs sollten auch auf laterale Bewegungen von Angreifern hin geprüft werden. Unabhängig davon sollten Administratoren die Daten aller betroffenen Server sofort sichern, um einem Ransomware-Angriff zuvorzukommen. Eine gute Arbeitshilfe für alle, die gerade aktiv angegriffen werden ist dieses Arbeitspapier von Microsoft über Exchange-Defense. Eine weitere Hilfe ist die Self-Check-Website von „Check my OWA“. Sie prüft den Domain-Teil einer E-Mail-Adresse gegen eine Datenbank mit kompromittierten Sites. Taucht die Domäne in dieser Datenbank auf, erhält die eingegebene E-Mail-Adresse eine Nachricht. Allerdings sind nicht alle betroffenen Server und Domains in der Datenbank gelistet, so dass Admins trotzdem aktiv werden müssen.