Hafnium: Microsoft warnt vor Exchange-Angriffen per 0-Day

Laut Microsoft greifen chinesische Staatshacker gezielt Exchange-Server an. Das Unternehmen hat Notfall-Updates bereitgestellt.

Artikel veröffentlicht am , / dpa
Microsoft warnt vor Lücken in Exchange.
Microsoft warnt vor Lücken in Exchange. (Bild: Shannon Stapleton/File Photo/Reuters)

Microsoft hat mehrere Sicherheitslücken in seiner E-Mail-Software Exchange Server geschlossen, die von mutmaßlich chinesischen Angreifern ausgenutzt worden sind. Dabei handelte es sich um sogenannte 0-Day-Lücken, das heißt, die Sicherheitslücken waren vor dem Entdecken der Angriffe nicht bekannt und die Angreifer haben wohl gezielt nach diesen gesucht, um diese für die Angriffe auszunutzen. Der Softwarekonzern rief Kunden in der Nacht zum Mittwoch eindringlich dazu auf, schnell die bereitgestellten Sicherheitsupdates zu installieren.

Stellenmarkt
  1. IT-Recruiter (m/w/d)
    Cegeka Deutschland GmbH, Neu Isenburg, Köln
  2. Manager Informationssicherheit / Datenschutz Erzeugung (w/m/d)
    EnBW Energie Baden-Württemberg AG, Stuttgart
Detailsuche

Die Hackergruppe, die Microsoft Hafnium nennt, habe mit Hilfe der vier Schwachstellen vor allem Informationen in den USA abgreifen wollen, schrieb Microsoft in einem Blogeintrag. Ziele seien unter anderem Forschungen zu Infektionskrankheiten sowie Hochschulen, Anwaltskanzleien und Unternehmen mit Verteidigungsaufträgen gewesen. Es habe sich um zielgerichtete Attacken gehandelt und Microsoft habe keine Hinweise darauf, dass auch Privatkunden angegriffen wurden.

Betroffen sind laut Microsoft die Exchange-Server-Versionen 2013, 2016 und 2019, die selbst gehostet werden. Der Exchange-Cloud-Service von Microsoft sei explizit nicht betroffen. Exchange wird von vielen Unternehmen, Behörden und Bildungseinrichtungen als E-Mail-Plattform genutzt. Bei den Schwachstellen handelt es sich konkret um die Möglichkeit einer Server-side Request Forgery (SSRF), um beliebige HTTP-Requests an den Server zu senden und sich dabei als der Exchange-Dienst auszugeben.

Dies wurde mit zwei weiteren Lücken verbunden, um wiederum gezielt Dateien auf dem Server abzulegen. Mit Hilfe der vierten Lücke, ein Fehler bei der Deserialisierung von Eingabedaten, konnte schließlich Code mit Systemberechtigungen ausgeführt werden. Für Letzteres sind laut Microsoft jedoch weitere Schwachstellen oder Administrationsrechte notwendig.

Golem Akademie
  1. C++ Programmierung Basics: virtueller Fünf-Tage-Workshop
    13.–17. Dezember 2021, virtuell
  2. Scrum Product Owner: Vorbereitung auf den PSPO I (Scrum.org): virtueller Zwei-Tage-Workshop
    3.–4. März 2022, virtuell
Weitere IT-Trainings

Die Angreifer haben die Lücken kombiniert, um auf den betroffenen Servern eine Web-Shell einzurichten und so dauerhaft Zugriff auf sämtliche Daten des Exchange-Servers zu haben. Diese Daten, also etwa Mail-Postfächer oder Kontaktdaten, wurden letztlich ausgeleitet. Microsoft wurde auf die Sicherheitslücken von IT-Sicherheitsforschern aufmerksam gemacht. Die Hafnium-Gruppe agiert laut Microsoft von China aus - habe aber für die Attacken auf Infrastruktur in den USA zurückgegriffen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Bald exklusiv bei Disney+
Serien verschwinden aus Abos von Netflix und Prime Video

Acht Serienklassiker gibt es bald nur noch exklusiv bei Disney+ im Abo. Dazu gehören Futurama, Family Guy und 24.
Von Ingo Pakalski

Bald exklusiv bei Disney+: Serien verschwinden aus Abos von Netflix und Prime Video
Artikel
  1. Chorus im Test: Action im All plus galaktische Grafik
    Chorus im Test
    Action im All plus galaktische Grafik

    Schicke Grafik und ein sprechendes Raumschiff: Chorus von Deep Silver entpuppt sich beim Test als düsteres und spannendes Weltraumspiel.
    Von Peter Steinlechner

  2. Mobilfunkexperte: Afghanischer Ex-Minister hat nach Lieferando einen neuen Job
    Mobilfunkexperte
    Afghanischer Ex-Minister hat nach Lieferando einen neuen Job

    Der frühere afghanische Kommunikationsminister Syed Sadaat arbeitet nicht mehr bei Lieferando in Leipzig. Nun wird er Partner bei einem Maskenhersteller.

  3. Edge-Browser: Microsoft will Installation von Chrome verhindern
    Edge-Browser
    Microsoft will Installation von Chrome verhindern

    Microsoft intensiviert sein Vorgehen gegen andere Browser: Vor der Installation von Chrome wird Edge übertrieben gelobt.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Saturn-Advent: Toshiba Canvio 6TB 88€ • KFA2 Geforce RTX 3070 OC 8GB 1.019€ • Netgear günstiger (u. a. 5-Port-Switch 16,89€) • Norton 360 Deluxe 2022 18,99€ • Gaming-Monitore zu Bestpreisen (u. a. Samsung G3 27" FHD 144Hz 219€) • Spiele günstiger (u. a. Hades PS5 15,99€) [Werbung]
    •  /