Exchange Server: Microsoft weiß schon seit zwei Monaten von Zero Days

Obwohl Microsoft schon lange von den Sicherheitslücken und dem aktiven Ausnutzen weiß, sollten sie erst am 9. März geschlossen werden.

Artikel veröffentlicht am ,
Microsoft wollte die aktiv ausgenutzte Zero Day erst am heutigen Patch Tuesday schließen.
Microsoft wollte die aktiv ausgenutzte Zero Day erst am heutigen Patch Tuesday schließen. (Bild: Gerd Altmann/Pixabay)

Wann hat Microsoft das erste Mal von den Exchange-Zero-Days erfahren? Der Journalist Brian Krebs hat in seinem Blog eine Zeitleiste erstellt. Demnach wusste Microsoft bereits Anfang Januar, dass die Sicherheitslücken existieren. Geschlossen wurden sie jedoch erst zwei Monate später.

Stellenmarkt
  1. Director of global SW Test (m/f/d)
    Advantest Europe GmbH, Böblingen
  2. Cyber Security Engineer/IT Security (m/w/d)
    Eurowings Aviation GmbH, Köln
Detailsuche

Weltweit sollen Hunderttausende Organisationen über die Sicherheitslücken, die Proxylogon genannt werden, gehackt worden sein. Neben Patches stellt Microsoft auch ein Prüfskript zur Verfügung, mit dem Exchange-Admins überprüfen können, ob ihr Server gehackt wurde.

Microsoft wurde schon Anfang Januar über Proxylogon informiert

Gegenüber Krebs erklärte Microsoft, dass es "Anfang Januar" von den Sicherheitslücken erfahren habe. Auf die gleiche Frage des Onlinemagazins The Verge wollte Microsoft nicht antworten. Auch eine Anfrage von Golem.de blieb bisher unbeantwortet.

Bis dato sei die erste bekannte Meldung der Sicherheitslücken am 5. Januar 2021 durch die taiwanische Sicherheitsfirma Devcore erfolgt. Einen Tag später entdeckte die US-Sicherheitsfirma Volexity Angriffe, welche die gleichen Schwachstellen ausnutzen, meldete diese laut Krebs jedoch offiziell erst am 2. Februar 2021 an Microsoft. Laut Volexity laufen entsprechende Angriffe seit mindestens 3. Januar 2021.

Golem Akademie
  1. Elastic Stack Fundamentals – Elasticsearch, Logstash, Kibana, Beats: virtueller Drei-Tage-Workshop
    26.–28. Oktober 2021, Virtuell
  2. AZ-104 Microsoft Azure Administrator: virtueller Vier-Tage-Workshop
    13.–16. Dezember 2021, virtuell
Weitere IT-Trainings

Devcore erklärte Microsoft am 18. Februar 2021, dass Sicherheitsupdates am 9. März (Patch Tuesday) veröffentlicht würden. Am 26. und 27. Februar wurde aus den gezielten Angriffen auf Exchange Server jedoch allmählich ein globaler Massenhack. Schließlich veröffentlichte Microsoft die Patches am 2. März 2021 - eine Woche früher als ursprünglich geplant, doch zu spät, um das Schlimmste zu verhindern.

Nach der Veröffentlichung der Patches und der Warnung von Microsoft sollen die Eindringlinge ihre Angriffe weiter verstärkt haben, um noch ungepatchte Systeme zu übernehmen. Der ehemalige Direktor der Cybersecurity and Infrastructure Security Agency Chris Krebs warnt auf Twitter, dass alle Exchange Server, die zwischen dem 26. Februar und dem 3. März 2021 online waren, davon ausgehen müssen, dass sie gehackt wurden.

Microsoft stellt Prüfskripte zur Verfügung

Microsoft hat mittlerweile ein Powershell-Skript zur Verfügung gestellt, mit dem Admins ihre Exchange-Server-Installationen überprüfen können. Das Skript kombiniert bereits von Microsoft veröffentlichte Befehle, die einen Server auf Spuren untersuchen, die ein erfolgreicher Angriff hinterlässt. Das Skript kann auf Github heruntergeladen werden. Verantwortlich für die Angriffe soll eine chinesische Hackergruppe sein, die Microsoft Hafnium nennt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Cloud-Ausfall
Eine AWS-Region als Single Point of Failure

Ein stundenlanger Ausfall der AWS-Cloud legte zentrale Dienste und sogar Amazon selbst teilweise lahm. Das zeigt die Grenzen der Cloud-Versprechen.
Ein Bericht von Sebastian Grüner

Cloud-Ausfall: Eine AWS-Region als Single Point of Failure
Artikel
  1. Ampelkoalition: Das Verkehrsministerium wird zum Digitalministerium
    Ampelkoalition
    Das Verkehrsministerium wird zum Digitalministerium

    Aus dem geplanten Ministerium für Verkehr und Digitales wird ein Ministerium für Digitales und Verkehr. Minister Wissing erhält zusätzliche Kompetenzen.

  2. Bundesnetzagentur: 30 Messungen an drei unterschiedlichen Kalendertagen
    Bundesnetzagentur
    30 Messungen an drei unterschiedlichen Kalendertagen

    Die Bundesnetzagentur hat festgelegt, wann der Netzbetreiber/Provider den Vertrag nicht erfüllt. Es muss viel gemessen werden.

  3. Euro NCAP: Renault Zoe mit katastrophalem Crash-Ergebnis
    Euro NCAP
    Renault Zoe mit katastrophalem Crash-Ergebnis

    Mit dem Renault Zoe sollte man keinen Unfall bauen. Im Euro-NCAP-Crashtest erhielt das Elektroauto null Sterne.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Acer-Monitore zu Bestpreisen (u. a. 27" FHD 165Hz OC 199€) • Kingston PCIe-SSD 1TB 69,90€ & 2TB 174,90€ • Samsung Smartphones & Watches günstiger • Saturn: Xiaomi Redmi Note 9 Pro 128GB 199€ • Alternate (u. a. Razer Opus Headset 69,99€) • Release: Halo Infinite 68,99€ [Werbung]
    •  /