Durch vermehrte aufgetretene gezielte Attacken auf Exchange Server, hat Microsoft am 03. März außerplanmäßig wichtige Sicherheits-Updates für vier Schwachstellen in Exchange Server 2010 – 2019 bereitgestellt. Das war insofern ungewöhnlich, da Microsoft eigentlich Sicherheits-Updates nur einmal pro Monat veröffentlicht. Wenige Tage danach zeigt sich aber das wahre Ausmaß der Ausnutzung dieser Sicherheitslücken (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065).
Quelle: https://msrc-blog.microsoft.com/2021/03/02/multiple-security-updates-released-for-exchange-server/
Bei der Attribution hat sich das Microsoft Threat Intelligence Center (MSTIC) recht schnell, basierend auf Opferauswahl, Taktik und Vorgehensweise (TTPs) auf eine aus China operierende Gruppe namens Hafnium festgelegt. Wenige Tage vor der Veröffentlichung registrierten einige InfoSec Firmen eine Zunahme verdächtiger Webshells, die von Microsoft Exchange Servern ausgingen. Die Sicherheitslücken wurden also „lange“ vor der veröffentlichten Meldung von Microsoft schon aktiv ausgenutzt. In den Wochen kamen etliche Meldungen von erfolgreichen Kompromittierungen hinzu. Die Lage war so kritisch, dass das BSI folgende Aussage traf „Die IT-Bedrohungslage ist extrem kritisch. Ausfall vieler Dienste, der Regelbetrieb kann nicht aufrechterhalten werden“. Zu diesem Zeitpunkt (09.03) bestätigte das BSI bis zu 26.000 erfolgreiche Kompromittierungen alleine in Deutschland. Vor diesem Hintergrund hat das BSI die Bedrohungslage „ROT“ ausgerufen, was der höchsten Stufe entspricht und nur sehr selten vorkommt.
Die Gruppe (Hafnium) führte eine Reihe von Angriffen – unter Ausnutzung der bisher unbekannten Sicherheitslücken –, aus. Das Ziel waren On-Premises Exchange Server. Die Angriffe erfolgten in drei Phasen: Zunächst erlangten die Angreifer Zugriff auf die verwundbaren Mailserver – unter Ausnutzung der bisher unbekannten Sicherheitslücken. Im nächsten Schritt kreierten die Angreifer Webshells, um den Server „remote“ zu steuern. Im letzten Schritt, der Exfiltrationsphase, nutzen die Angreifer die erlangte Kontrolle um Daten aus den Opfer-Umgebungen abfließen zu lassen.
Die identifizierten Sicherheitslücken werden auf ungeschützten Exchange-Servern immer noch von diversen Angreifer-Gruppen
ausgenutzt. Wir empfehlen dringend die Durchführung des Security Updates sowie die anschließende Prüfung und Analyse, ob Ihr Exchange Server bereits kompromittiert worden ist.
Hierbei unterstützen wir Sie gerne. Der Aufwand für das Security Update und die Prüfung auf Kompromittierung
liegt bei ca. 1 - 4 Stunden (je nach Anzahl der Exchange Server). Melden Sie sich gerne bei uns!