Hafnium: Microsoft warnt vor Exchange-Angriffen per 0-Day

Laut Microsoft greifen chinesische Staatshacker gezielt Exchange-Server an. Das Unternehmen hat Notfall-Updates bereitgestellt.

Artikel veröffentlicht am , / dpa
Microsoft warnt vor Lücken in Exchange.
Microsoft warnt vor Lücken in Exchange. (Bild: Shannon Stapleton/File Photo/Reuters)

Microsoft hat mehrere Sicherheitslücken in seiner E-Mail-Software Exchange Server geschlossen, die von mutmaßlich chinesischen Angreifern ausgenutzt worden sind. Dabei handelte es sich um sogenannte 0-Day-Lücken, das heißt, die Sicherheitslücken waren vor dem Entdecken der Angriffe nicht bekannt und die Angreifer haben wohl gezielt nach diesen gesucht, um diese für die Angriffe auszunutzen. Der Softwarekonzern rief Kunden in der Nacht zum Mittwoch eindringlich dazu auf, schnell die bereitgestellten Sicherheitsupdates zu installieren.

Stellenmarkt
  1. Consultant Virtualisierung (m/w/d)
    ORBIT Gesellschaft für Applikations- und Informationssysteme mbH, Bonn
  2. IT-Security Engineer (m/w/d)
    Duravit AG, Hornberg
Detailsuche

Die Hackergruppe, die Microsoft Hafnium nennt, habe mit Hilfe der vier Schwachstellen vor allem Informationen in den USA abgreifen wollen, schrieb Microsoft in einem Blogeintrag. Ziele seien unter anderem Forschungen zu Infektionskrankheiten sowie Hochschulen, Anwaltskanzleien und Unternehmen mit Verteidigungsaufträgen gewesen. Es habe sich um zielgerichtete Attacken gehandelt und Microsoft habe keine Hinweise darauf, dass auch Privatkunden angegriffen wurden.

Betroffen sind laut Microsoft die Exchange-Server-Versionen 2013, 2016 und 2019, die selbst gehostet werden. Der Exchange-Cloud-Service von Microsoft sei explizit nicht betroffen. Exchange wird von vielen Unternehmen, Behörden und Bildungseinrichtungen als E-Mail-Plattform genutzt. Bei den Schwachstellen handelt es sich konkret um die Möglichkeit einer Server-side Request Forgery (SSRF), um beliebige HTTP-Requests an den Server zu senden und sich dabei als der Exchange-Dienst auszugeben.

Dies wurde mit zwei weiteren Lücken verbunden, um wiederum gezielt Dateien auf dem Server abzulegen. Mit Hilfe der vierten Lücke, ein Fehler bei der Deserialisierung von Eingabedaten, konnte schließlich Code mit Systemberechtigungen ausgeführt werden. Für Letzteres sind laut Microsoft jedoch weitere Schwachstellen oder Administrationsrechte notwendig.

Golem Karrierewelt
  1. LDAP Identitätsmanagement Fundamentals: virtueller Drei-Tage-Workshop
    07.-09.02.2023, Virtuell
  2. Advanced Python – Fortgeschrittene Programmierthemen: virtueller Drei-Tage-Workshop
    23.-25.01.2023, Virtuell
Weitere IT-Trainings

Die Angreifer haben die Lücken kombiniert, um auf den betroffenen Servern eine Web-Shell einzurichten und so dauerhaft Zugriff auf sämtliche Daten des Exchange-Servers zu haben. Diese Daten, also etwa Mail-Postfächer oder Kontaktdaten, wurden letztlich ausgeleitet. Microsoft wurde auf die Sicherheitslücken von IT-Sicherheitsforschern aufmerksam gemacht. Die Hafnium-Gruppe agiert laut Microsoft von China aus - habe aber für die Attacken auf Infrastruktur in den USA zurückgegriffen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Metaverse
EU blamiert sich mit interaktiver Onlineparty

Rund 387.000 Euro an Kosten, fünf Besucher auf der Onlineparty: Ein EU-Projekt wollte junge Menschen als Büroklammer tanzen lassen.

Metaverse: EU blamiert sich mit interaktiver Onlineparty
Artikel
  1. Elektromobilität: Hyundai zeigt Elektrosportwagen Ioniq 5 N
    Elektromobilität
    Hyundai zeigt Elektrosportwagen Ioniq 5 N

    Hyundai hat erstmals ein Video mit dem Ioniq 5 N veröffentlicht. Das besonders sportliche Fahrzeug soll die N-Marke beleben.

  2. High Purity in der Produktion: Unter Druck reinigen
    High Purity in der Produktion
    Unter Druck reinigen

    Ob Autos, Elektronik, Medizin oder Halbleiter: Die Reinhaltung bis in den Nanobereich wird immer wichtiger. Das stellt hohe Anforderung an Monitoring und Prozesslenkung.
    Ein Bericht von Detlev Prutz

  3. Patches: Anti-Ruckel-Updates für Pokémon und Callisto zeigen Wirkung
    Patches
    Anti-Ruckel-Updates für Pokémon und Callisto zeigen Wirkung

    Warum nicht gleich so? Für die von Bugs geplagten Computerspiele Pokémon Karmesin/Purpur und The Callisto Protocol gibt es Updates.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5-Bundle vorbestellbar • Amazon-Geräte bis -53% • Mindstar: AMD-Ryzen-CPUs zu Bestpreisen • Alternate: Kingston FURY Beast RGB 32GB DDR5-4800 146,89€ • Advent-Tagesdeals bei MediaMarkt/Saturn: u. a. SanDisk Ultra microSDXC 512GB 39€ • Thrustmaster Ferrari GTE Wheel 87,60€ [Werbung]
    •  /