Der Hafnium Exchange-Server-Hack

Seit einer Woche hält Server Administratoren weltweit ein neuer Hacker Angriff in Atem. Unzählige Microsoft Exchange Server wurden, Berichten zufolge Opfer eines Angriffs. Insgesamt 4 Sicherheitslücken wurden hierbei von der chinesischen Hackergruppe „Hafnium“ dafür ausgenutzt, Zugriff auf Exchange Server auf der ganzen Welt zu erlangen, Daten zu stehlen und WebShells für weiteren Fernzugriff zu installieren.

Die ersten Vorfälle sollen bereits Jänner registriert worden sein, jedoch ist es durchaus möglich, dass die Schwachstellen bereits länger unbemerkt ausgenutzt wurden.

Microsoft steht wegen des Angriffes besonders unter Kritik, denn man hat bereits seit Jänner von den bestehenden Sicherheitslücken gewusst, doch nicht reagiert oder die eigenen Kunden gewarnt. Der Konzern argumentiert hierbei, dass jede Veröffentlichung vor der Verfügbarkeit eines Updates das Risiko für Kunden erhöht hätte. Erst zwei Monate später folgten Sicherheitsupdates zur Behebung der Probleme.

Bis dato sollen hunderttausende Exchange Server betroffen sein und man sollte die Bedrohung keineswegs unterschätzen. Über die Sicherheitslücke können Hacker z.B. Zugriff auf Emails, Kalendereinträge etc. aller Benutzer Ihres Exchange-Servers erlangen. Somit ist es nicht nur in Ihrem Interesse schnell zu handeln sondern auch verpflichtend um der EU-DSGVO gerecht zu werden.

Ist mein Server betroffen?

Wenn Sie einen Exchange Server 2013, 2016 oder 2019 mit HTTP/HTTPS Zugriff (z.B. für die Outlook Web App) besitzen, dann ist die Wahrscheinlichkeit eines Befalles sehr hoch und Sie sollten die im Folgenden beschriebenen Schritte unbedingt durchführen um sicher zu gehen.

Was soll ich tun?

Schritt 1 – Lockdown
  • HTTP/HTTPS – Zugriff abschalten
  • IIS Dienste beenden
  • Ausgehende Verbindungen limitieren

Alles das ist notwendig, um festzustellen ob der Server tatsächlich befallen ist und während der nächsten Schritte keinen weiteren Schaden anrichten kann.

Schritt 2 – Analyse
  • Ausführen von Microsofts secruity scanner tool – MSERT.EXE
    – erkennt und beseitigt erkannte Backdoors
  • Ausführen von, von Microsoft bereitgestellten Skripten zur Erkennung einer Bedrohung – Microsoft GitHub
Schritt 3 – Reparieren
  • Installieren von Microsofts aktuellem Cumulative Update und Security Update für das jeweilige Betriebssystem
  • Neuerstellung des Servers
Schritt 4 – Auswertung
  • Kontrollieren von IIS- und Eventlogs
  • Check der Firewall auf auffällige TCP Verbindungen
  • Kennwörter Ändern
  • Kontrollieren der Active Directory Logs
  • KRBTGT Keys ändern

Alles in allem sollten Sie die Ruhe bewahren und schrittweise alle Möglichkeiten durchgehen. Es ist besser einen Tag länger Ausfälle in Kauf zu nehmen, als eine Schwachstelle unentdeckt zu lassen. Dieser Angriff sollte wieder einmal für jeden ein Weckruf sein, sich mit der Sicherheit im Netzwerk auseinander zu setzen. Wie sicher sind meine Passwörter? Wie ist die Update Strategie in meinem Unternehmen? Gibt es Firewall-Logs? Wer hat worauf Zugriff? Usw.

Wenn Sie Fragen haben oder Unterstützung bei der Umsetzung von Sicherheitsmaßnahmen in ihrem Unternehmen benötigen, stehen wir Ihnen jederzeit gerne zur Seite!

Click to access the login or register cheese