Eine Hintertüre im populären E-Mail-Server von Microsoft beschäftigt IT-Verantwortliche weltweit. Inzwischen ist von Hunderttausenden betroffenen Geräten die Rede. Das zieht Cyberspione und Kriminelle an.
Bereits gehackt? Wer eine alte Version des E-Mail-Servers von Microsoft verwendet, muss damit rechnen, Opfer der zahlreichen Angreifer geworden zu sein.
Wer Zugriff auf den Exchange-Server hat, sieht praktisch in das Herz eines Unternehmens oder einer Behörde. Die Microsoft-Lösung kommt weltweit in Verbindung mit Outlook zum Einsatz: Angestellte können damit E-Mails verschicken, Termine verwalten oder Kontakte speichern. Und genau diese Serversoftware ist seit Tagen das Ziel von Cyberangriffen – in riesigem Ausmass.
Bereits am 2. März hatte Microsoft vier kritische Schwachstellen in ihrer Exchange-Software publik gemacht. Gleichzeitig hat die Firma ein Update zur Behebung bereitgestellt. Doch noch immer sind unzählige Server nicht auf dem aktuellsten Stand, weil ihre Software nicht aktualisiert wurde. Sie bieten ein leichtes Ziel für Angreifer.
Allein in Deutschland sind Zehntausende Server verwundbar, weltweit sind es Hunderttausende. Bereits letzte Woche waren alleine in den USA schätzungsweise 30 000 Exchange-Server infiziert. Inzwischen dürften es deutlich mehr sein.
In Deutschland und in der Schweiz haben die Behörden inzwischen begonnen, Firmen mit verwundbaren E-Mail-Servern beziehungsweise deren Provider direkt anzuschreiben. Die staatliche Sicherheitsbehörde CERT-Bund in Deutschland nimmt seit Montag mit den Netzwerkbetreibern betroffener Unternehmen Kontakt auf.
In der Schweiz hat das Nationale Zentrum für Cybersicherheit (NCSC) am Dienstag angefangen, Betreiber gefährdeter Server direkt anzuschreiben. Die Behörde geht von mehreren hundert betroffenen Systemen hierzulande aus. Auf Twitter bittet die Behörde darum, die Empfehlungen zu befolgen. Aus früheren Fällen ist bekannt, dass viele Unternehmen solche Warnungen und Hinweise teilweise tage- oder wochenlang ignorieren.
Sicherheitslücke lässt sich automatisiert ausnutzen
Diese Untätigkeit kann schwerwiegende Folgen haben. Ist eine Sicherheitslücke direkt über das Internet erreichbar, wird diese mit grösster Wahrscheinlichkeit auch ausgenutzt. Denn die Systeme können automatisiert – und damit in grosser Zahl – angegriffen werden. Die Angreifer werden üblicherweise rasch nach dem Bekanntwerden einer Sicherheitslücke aktiv.
So geht etwa das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) bei der Exchange-Hintertüre davon aus, dass praktisch alle bisher nicht aktualisierten Systeme infiziert sind: «Bei Systemen, die bis dato nicht gepatched wurden, sollte von einer Kompromittierung ausgegangen werden», schrieb die Behörde bereits letzten Freitag.
Deswegen reicht es auch nicht, wenn IT-Sicherheitsverantwortliche die Server aktualisieren. Sie müssen die Systeme auch dahingehend überprüfen, ob sie infiziert worden sind. Die Angreifer können sich bereits eingenistet haben.
Anfangs wurden die Sicherheitslücken von chinesischen Cyberspionen ausgenutzt. Microsoft identifizierte eine staatlich unterstützte Gruppierung, die bisher nicht bekannt war und den Namen Hafnium erhielt. Nach Angaben von Microsoft soll es sich um einen hochqualifizierten Akteur handeln, der es vor allem auf Unternehmen, Forschungseinrichtungen und Nichtregierungsorganisationen in den USA abgesehen hat.
Die Cyberspione von Hafnium gelangten über die Sicherheitslücken auf den Exchange-Server und installierten dort eine eigene Software, die ihnen ermöglicht, permanent von aussen auf das System zuzugreifen. Danach konnten sie Daten entwenden. Bereits zwei Tage nach der Publikation der Sicherheitslücken stellte Microsoft auch ein Werkzeug zur Verfügung, um gefährdete Systeme auf eine mögliche Installation der Web-Shell von Hafnium zu überprüfen.
Angreifer schürfen teilweise Kryptowährungen
Noch bevor Microsoft die Sicherheitslücke offiziell kommunizierte, hatten weitere professionelle Angreifer begonnen, diese auszunutzen. Inzwischen spricht die slowakische Sicherheitsfirma Eset von neun Gruppierungen im Bereich Cyberspionage und von einer Gruppe, die gekaperte Rechner zum Schürfen von Kryptowährungen einsetzt. Auch Cyberkriminelle sollen die Hintertüre inzwischen ausnützen.
Diese Entwicklung erhöht die Bedrohung. Denn im Unterschied zu Spionen mit spezifischen Interessen interessieren sich Cyberkriminelle für weit mehr Opfer. Mit einem Zugriff auf den Exchange-Server eines Unternehmens lassen sich Informationen stehlen, die zum Beispiel für betrügerische E-Mails benutzt werden können.
Angreifer können diese Hintertüre aber auch für weitere Aktionen verwenden. Denn Exchange-Server besitzen üblicherweise viele Rechte innerhalb eines Computernetzwerks. Das BSI hält es deshalb für möglich, dass mit geringem Aufwand ein gesamtes System kompromittiert wird.
Denkbar sind etwa Ransomware-Angriffe. Dabei verschlüsseln die Erpresser die Daten auf den Servern und verlangen ein Lösegeld für die Entschlüsselung.
Dass verschiedene Angreifer die Sicherheitslücken ausnutzen, erschwert die Arbeit der Sicherheitsverantwortlichen in betroffenen Organisationen. Sie müssen nicht nur nach dem bekannten Werkzeug der chinesischen Hafnium-Gruppe Ausschau halten, sondern auch nach weiteren Angreifern – ohne dabei genau zu wissen, welche Gruppierungen das sein könnten und welche Werkzeuge sie verwenden.
Inzwischen soll es schon Fälle geben, bei denen einzelne Computersysteme von mehreren Gruppierungen gleichzeitig kompromittiert wurden, wie der amerikanische Sicherheitsexperte Brian Krebs schreibt.
In der Schweiz haben einige Firmen dem NCSC gemeldet, mit Schadsoftware infiziert worden zu sein. Dem Vernehmen nach soll sich darunter aber kein grösseres Unternehmen der sogenannten kritischen Infrastrukturen befinden. Die Analysen, welche Gruppierungen genau welche Systeme infiziert haben, läuft teilweise noch.
Die Bundesverwaltung selbst, die ebenfalls Exchange-Server einsetzt, hat diese inzwischen vollständig aktualisiert. Ob ein System erfolgreich angegriffen worden ist, ist bis jetzt nicht bekannt. Wie die NCSC auf Anfrage schreibt, wurden aber weitere Sicherheitsmassnahmen wie ein Monitoring eingerichtet.
In Deutschland kam es laut dem IT-Nachrichtenportal Heise.de bei vier Bundesbehörden möglicherweise zu einem erfolgreichen Angriff. Bereits am Sonntag hatte die Europäische Bankenaufsichtsbehörde bekanntgegeben, dass ihre E-Mail-Server erfolgreich angegriffen wurden.
Das wahre Ausmass dürfte sich erst noch zeigen
Die Schwachstelle im Exchange-Server ist weit verbreitet und verhältnismässig leicht auszunutzen. Vor diesem Hintergrund sei es erstaunlich, dass noch nicht mehr passiert sei, sagt ein Cybersicherheitsexperte auf Anfrage. Angriffe auf grosse Unternehmen mit einer Erpressungs-Software sind zum Beispiel nicht bekannt.
Doch das kann sich ändern. Zum einen können Angreifer erst in den nächsten Tagen in Server mit veralteter Software eindringen, wenn sie dafür neue oder andere Werkzeuge entwickelt haben. Zum anderen können Cyberkriminelle, die sich bereits heute eingenistet haben, erst in den nächsten Wochen aktiv werden – und dann zum Beispiel eine Erpressung mittels Ransomware starten.
Bereits im Dezember war mit dem Solarwinds-Hack ein Angriff mit weltweiten Folgen bekanntgeworden. Nun zeichnet sich bei der Exchange-Schwachstelle ein weiterer Fall mit mindestens ebenso grossen Dimensionen ab. Wie gross der Schaden tatsächlich ist, wird sich in den nächsten Wochen zeigen.
Artikel von & Weiterlesen ( Hintertüre bei E-Mail-Servern: Jetzt kommen die Cyberkriminellen - Neue Zürcher Zeitung )https://ift.tt/3l1vEMG
Wissenschaft & Technik
Bagikan Berita Ini
0 Response to "Hintertüre bei E-Mail-Servern: Jetzt kommen die Cyberkriminellen - Neue Zürcher Zeitung"
Post a Comment