Zero Day: 30.000 Firmen via Exchange-Lücke gehackt - allein in den USA

Vier Zero Days im Mailserver Microsoft Exchange sollen in großem Stil ausgenutzt worden sein. Die Schätzungen schwanken zwischen Zehntausenden und Hunderttausenden betroffenen Organisationen. Laut Microsoft soll eine chinesische Hackergruppe hinter den Angriffen stecken. Diese sollen sogar ausgeweitet worden sein, nachdem Microsoft am 2. März eine Warnung und Patches veröffentlicht hatte.

Stellenmarkt

1. CODAN Medizinische Geräte GmbH & Co KG, Lensahn bei Lübeck
2. Sedus Systems GmbH, Geseke

Alle Organisationen, die zwischen dem 26. Februar und 3. März einen über das Internet erreichbaren Exchange-Server mit der Outlook Web App (OWA) betrieben hätten, müssten davon ausgehen, dass ihr Server kompromittiert wurde, warnte der ehemalige Direktor der Cybersecurity and Infrastructure Security Agency Chris Krebs auf Twitter. "Suchen Sie nach 8 Zeichen langen aspx-Dateien in C:\\inetpub\wwwroot\aspnet_client\system_web\. Wenn Sie bei dieser Suche einen Treffer erhalten, befinden Sie sich jetzt im Incident-Response-Modus."

30.000 gehackte Regierungseinrichtungen und Firmen allein in den USA

Nach Angaben des Journalisten Brian Krebs, der nicht mit dem oben genannten Chris Krebs verwandt ist, sollen die Angriffe bereits seit dem 6. Januar laufen. Gegen Ende Februar sollen sie jedoch deutlich ausgeweitet worden sein. Nach der Veröffentlichung der Patches und der Warnung von Microsoft sollen die Eindringlinge ihre Angriffe weiter verstärkt haben, um noch ungepatchte Systeme zu übernehmen.

Allein in den USA sollen laut Krebs 30.000 Regierungseinrichtungen und Firmen über die vier Zero Days gehackt worden sein. Darunter seien kleine Unternehmen oder Gemeinden, aber auch Polizeidienststellen, Krankenhäuser oder Kreditverwaltungen. Weltweit schätzt Krebs Hunderttausende betroffene Organisationen.

"Die Patches machen den Schaden nicht rückgängig"

Golem Akademie

1. IT-Sicherheit für Webentwickler
   31. Mai - 1. Juni 2021, online
2. Microsoft 365 Security Workshop
   9.-11. Juni 2021, Online

Weitere IT-Trainings

"Das Problem ist, dass das Patchen der Schwachstellen nur die vier verschiedenen Wege blockiert, die die Hacker benutzen, um in das System zu gelangen. Aber es macht nichts von dem Schaden rückgängig, der vielleicht schon angerichtet wurde", sagte Steven Adair von der Sicherheitsfirma Volexity zu Brian Krebs.

Gehackt wurden demnach selbst gehostete Server mit Exchange Server 2013, 2016 oder 2019. Über die Sicherheitslücken richtet die chinesische Hackergruppe, die Microsoft Hafnium nennt, eine Webshell auf den betroffenen Systemen ein und kann sich so dauerhaft Zugriff auf sämtliche Daten des Exchange-Servers sichern. Anschließend werden E-Mail-Postfächer und Adressbücher ausgeleitet.