Zehntausende US-Organisationen sind von einem laufenden Microsoft Exchange-Hack betroffen

0
39

Zehntausende in den USA ansässige Unternehmen betreiben Microsoft Exchange-Server, die von Bedrohungsakteuren, die Administratorkennwörter stehlen und kritische Schwachstellen in der E-Mail- und Kalenderanwendung ausnutzen, hinter die Tür gestellt wurden. Microsoft hat am Dienstag Notfall-Patches veröffentlicht, die jedoch nichts zur Desinfektion bereits gefährdeter Systeme beitragen.

KrebsOnSecurity war der erste, der den Massenhack meldete. Der Reporter Brian Krebs zitierte mehrere namenlose Personen und bezifferte die Anzahl der kompromittierten US-Organisationen auf mindestens 30.000. Weltweit gab es laut Krebs mindestens 100.000 gehackte Organisationen. Andere Nachrichtenagenturen, die ebenfalls ungenannte Quellen zitierten, folgten schnell mit Beiträgen, in denen berichtet wurde, dass der Hack Zehntausende von Organisationen in den USA getroffen hatte.

Kompromiss annehmen

“Dies ist der wahre Deal”, sagte Chris Krebs, der frühere Leiter der Agentur für Cybersicherheit und Infrastruktursicherheit, auf Twitter und verwies auf die Angriffe auf On-Premisis Exchange, das auch als Outlook Web Access bekannt ist. “Wenn Ihre Organisation einen OWA-Server betreibt, der dem Internet ausgesetzt ist, gehen Sie zwischen dem 26.02.03.03 einen Kompromiss ein.” Seine Kommentare begleiteten am Donnerstag einen Tweet von Jake Sullivan, dem nationalen Sicherheitsberater des Weißen Hauses von Präsident Biden.

Hafnium hat Gesellschaft

Microsoft teilte am Dienstag mit, dass lokale Exchange-Server von einer in China ansässigen Hacking-Gruppe, die der Softwarehersteller Hafnium nennt, in “begrenzten gezielten Angriffen” gehackt wurden. Nach dem Beitrag von Brian Krebs vom Freitag hat Microsoft seinen Beitrag aktualisiert und festgestellt, dass “diese Sicherheitsanfälligkeiten verstärkt bei Angriffen auf nicht gepatchte Systeme durch mehrere böswillige Akteure außerhalb von HAFNIUM eingesetzt werden”.

Katie Nickels, Director of Intelligence bei der Sicherheitsfirma Red Canary, sagte Ars, dass ihr Team Exchange-Server gefunden habe, die von Hackern mithilfe von Taktiken, Techniken und Verfahren kompromittiert wurden, die sich deutlich von denen der von Microsoft genannten Hafnium-Gruppe unterscheiden. Sie sagte, Red Canary habe fünf „Cluster gezählt, die unterschiedlich aussehen“. [though] Zu sagen, ob die Menschen dahinter anders sind oder nicht, ist im Moment wirklich herausfordernd und unklar. “

Auf Twitter sagte Red Canary, dass einige der kompromittierten Exchange-Server, die das Unternehmen verfolgt hat, Malware ausgeführt haben, die von der anderen Sicherheitsfirma Carbon Black im Jahr 2019 analysiert wurde. Die Malware war Teil eines Angriffs, bei dem Cryptomining-Software namens DLTminer installiert wurde. Es ist unwahrscheinlich, dass Hafnium eine solche Nutzlast installiert.

Laut Microsoft handelt es sich bei Hafnium um eine qualifizierte Hacking-Gruppe aus China, die sich hauptsächlich auf den Diebstahl von Daten von US-amerikanischen Forschern für Infektionskrankheiten, Anwaltskanzleien, Hochschuleinrichtungen, Verteidigungsunternehmen, politischen Think Tanks und Nichtregierungsorganisationen konzentriert. Microsoft sagte, die Gruppe habe Server gehackt, indem sie entweder die kürzlich behobenen Zero-Day-Schwachstellen ausgenutzt oder kompromittierte Administratoranmeldeinformationen verwendet habe.

Es ist nicht klar, wie viel Prozent der infizierten Server von Hafnium stammen. Microsoft warnte am Dienstag, dass die einfache Ausnutzung der Sicherheitslücken es wahrscheinlich machte, dass andere Hack-Gruppen bald Hafnium beitreten würden. Wenn Ransomware-Gruppen noch nicht zu den Clustern gehören, die Server kompromittieren, ist es fast unvermeidlich, dass dies bald der Fall sein wird.

Backdooring-Server

Brian Krebs und andere berichteten, dass Zehntausende von Exchange-Servern mit einer Webshell kompromittiert wurden, die Hacker installieren, sobald sie Zugriff auf einen Server erhalten haben. Mit der Software können Angreifer über ein Terminalfenster, auf das über einen Webbrowser zugegriffen wird, Verwaltungsbefehle eingeben.

Die Forscher haben sorgfältig darauf geachtet, dass die einfache Installation der Patches, die Microsoft in der Notfallversion vom Dienstag veröffentlicht hat, nichts zur Desinfektion von Servern beiträgt, die bereits hinter der Tür stehen. Die installierten Webshells und jede andere schädliche Software bleiben bestehen, bis sie aktiv entfernt werden, idealerweise durch vollständige Neuerstellung des Servers.

Personen, die Exchange-Server in ihren Netzwerken verwalten, sollten alles, was sie gerade tun, löschen und ihre Computer sorgfältig auf Anzeichen von Kompromissen untersuchen. Microsoft hat hier Kompromissindikatoren aufgelistet. Administratoren können dieses Skript auch von Microsoft verwenden, um zu testen, ob ihre Umgebungen betroffen sind.

Die Eskalation der Exchange-Server-Hacks in dieser Woche erfolgt drei Monate, nachdem Sicherheitsexperten den Hack von mindestens neun Bundesbehörden und etwa 100 Unternehmen aufgedeckt haben. Der Hauptvektor für Infektionen waren Software-Updates des Netzwerk-Tool-Herstellers SolarWinds. Der Massenhack war einer von – wenn nicht das– die schlimmsten Computereingriffe in der Geschichte der USA. Möglicherweise wird der Exchange Server diese Unterscheidung bald beanspruchen.

Es gibt noch viel Unbekanntes. Im Moment tun die Leute gut daran, den Ratschlägen von Chris Krebs zu folgen, um anzunehmen, dass lokale Server kompromittiert sind, und entsprechend zu handeln.


Anerkennung: Quelllink