Microsoft hat einige Notfall-Updates veröffentlicht, die vier Zero-Day-Lücken in den Microsoft Exchange Server-Versionen 2013, 2016 und 2019 schließen sollen. Dieser Schritt folgte, nachdem Bedrohungsakteure dabei beobachtet wurden, wie sie die Sicherheitslücken in freier Wildbahn ausnutzten. Über lokale Exchange-Server gelang es ihnen E-Mails zu stehlen, Daten herunterladen und Computer mit Malware zu kompromittieren, um sich langfristig in den Netzwerken ihrer Opfer einzunisten. Aufgrund der Bedrohung sah sich Microsoft dazu veranlasst seine Kunden zum sofortigen Patchen ihrer Systeme aufzufordern.

Die Sicherheitslücken CVE-2021-26855CVE-2021-26857CVE-2021-26858 und CVE-2021-27065 werden von den Angreifern als Teil einer Angriffskette ausgenutzt. Die Entscheidung von Microsoft, die Fixes außer der Reihe und nicht als Teil der monatlichen Patches zum sogenannten Patch Tuesday zu veröffentlichen, unterstreicht die Schwere der Bedrohung. Microsoft führte den Angriff auf eine relativ unbekannte APT-Gruppe (Advanced Persistent Threat) mit dem Codenamen Hafnium zurück.

Laut der ESET-Telemetrie wird mindestens eine der Sicherheitslücken von mehreren Cyberspionagegruppen ausgenutzt. Dazu gehören LuckyMouse (auch bekannt als Emissary Panda oder APT27) sowie Tick und Calypso. Der als CVE-2021-26855 indizierte Fehler ist eine serverseitige Sicherheitsanfälligkeit zur Fälschung von Anforderungen, die es einem Angreifer ermöglicht, beliebige HTTP-Requests zu machen und diese als der Exchange-Server zu authentifizieren.

Während die meisten Angriffe gegen Server in den USA beobachtet wurden, gab es auch Angriffe der APT-Gruppen auf Server von Regierungen, Anwaltskanzleien und privaten Unternehmen in anderen Teilen der Welt, insbesondere in Deutschland.

Hafnium

In Microsofts Schilderung der Angriffe heißt es: „Bis heute ist Hafnium der Hauptakteur, der die Exploits verwendet, die hier von MSTIC erörtert werden. Die Angriffe bestehen aus drei Schritten. Zuerst versucht man Zugriff auf einen Exchange Server erhalten, entweder mit gestohlenen Kennwörtern oder indem man sich, unter Ausnutzung zuvor unentdeckter Sicherheitslücken, als jemand mit Zugriffsrechten tarnt. Als nächstes würde eine sogenannte Web-Shell erstellt werden, um den gefährdeten Server fernzusteuern. Im dritten Schritt würde dieser Remotezugriff - der von den in den USA ansässigen privaten Servern ausgeführt wird – dazu genutzt werden, um Daten aus dem Netzwerk eines Unternehmens zu stehlen“.

Das Unternehmen hat außerdem ein spezielles Update für Microsoft Exchange Server 2010 veröffentlicht, das im Oktober 2020 das Supportende erreicht hatte. "Wir empfehlen, die Installation von Updates auf Exchange-Servern zu priorisieren, die von außen erreichbar sind. Alle betroffenen Exchange Server sollten letztendlich aktualisiert werden “, sagte Microsoft.

Computer Emergency Response Teams (CERT) auf der ganzen Welt, einschließlich Deutschland, der USA und Europas, gaben ebenfalls Warnungen heraus. Die Benutzer und Administratoren wurden dazu aufgefordert, die Updates sofort zu installieren und ihre Exchange-Protokolldateien auf Anzeichen von Einbrüchen oder Kompromittierungen hin zu prüfen.

ESET-Forscher raten Unternehmen außerdem dazu, die Erreichbarkeit kritischer Anwendungen über das Internet zu begrenzen, beispielsweise durch die Verwendung eines virtuellen privaten Netzwerks (VPN).