Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt eindringlich vor kritischen Sicherheitslücken in Microsoft Exchange. Vor einigen Tagen wurde bekannt, dass eine Hacker-Gruppierung weltweit bereits zehntausende E-Mail-Server attackiert hat – darunter auch mittelständische Unternehmen in Deutschland.

Hauptakteur der Angriffe ist laut Microsoft „HAFNIUM“. Der von China aus operierende, staatlich unterstützte Bedrohungsakteur führt seine Attacken mit bisher unbekannten Exploits durch, die auf lokale Exchange Server-Software abzielen. Eine erfolgreiche Attacke auf die Schwachstellen ermöglicht die Übernahme der Kontrolle des Exchange Servers bzw. des ganzen Netzwerks. Dabei geht der Angreifer folgendermaßen vor:

HAFNIUM verschafft sich Zugang zum Exchange Server, indem er entweder Passwörter entwendet oder zuvor unbekannte Schwachstellen nutzt, um sich als jemand auszugeben, der eigentliche Zugang haben sollte. Schützen Sie sich, indem Sie vertrauenswürdige Verbindungen einschränken oder einen VPN einrichten, um den Exchange Server vom externen Zugriff zu trennen. Diese Maßnahmen können jedoch nur vor dem ersten Schritt des Angriffs schützen. Die weiteren Angriffsschritte können ausgelöst werden, wenn ein Angreifer bereits Zugriff hat oder Administratoren dazu bewegen kann, eine schädliche Datei auszuführen.

Dann erstellt er eine sogenannte Web-Shell, um den kompromittierten Server aus der Ferne zu steuern.

Den Fernzugriff nutzt der Angreifer dann, um Daten aus dem Netzwerk zu stehlen.
Aktuell betroffen sind die lokalen Exchange Server 2010, 2013, 2016 und 2019. Kunden von Exchange Online sind nicht betroffen.

Was passieren kann, wenn Sie nicht sofort reagieren: Bei sofortiger Reaktion können Angriffe meist noch abgewendet werden. Sind Ihre internen Systeme jedoch schon übernommen worden, müssen Sie mit erheblichen Kosten für die Wiederinbetriebnahme Ihrer IT-Landschaft rechnen, verbunden mit einem erheblichen Arbeits- und Produktionsausfall. Hinzu kommen möglicherweise datenschutz- und strafrechtliche Vergehen, wenn personenbezogene Daten weitergeleitet werden oder weitere Angriffe auf Unbeteiligte, über Ihre IT-Landschaft erfolgen.

Was Sie jetzt tun sollten: Microsoft hat bereits neue Sicherheitsupdates veröffentlicht, mit dem die Schwachstellen geschlossen werden. Wir empfehlen daher umgehend zu patchen. Doch das allein reicht nicht aus: Im Zweifel waren die Hacker schneller und befinden sich bereits „unerkannt“ in Ihrem System. Daher sollte unbedingt geprüft werden, ob in Ihr System bereits „eingebrochen“ wurde.

EVIATEC hilft Ihnen gerne mit detaillierten Handlungsempfehlungen und unkomplizierter Soforthilfe weiter. Kontakt