Microsoft Exchange Server: Zeitleiste der Cyber-Vorfalls rekonstruiert

Zehntausende anfälliger Exchange-Server innerhalb von drei Tagen gepatcht

[datensicherheit.de, 12.03.2021] „Die Anzahl der nicht-gepatchten ,Exchange‘-Server ging diese Woche stark zurück, als Microsoft-Kunden laut neuen Daten, die von der ,Palo Alto Networks Expanse-Plattform‘ gesammelt wurden, schnell Sicherheitsupdates installierten.“ Das schnelle Patchen folge Warnungen, dass Hacker vier „Zero-Day“-Schwachstellen in der weit verbreiteten E-Mail-Software ausnutzten. Matt Kraning, „Chief Technology Officer“ von Cortex bei Palo Alto Networks geht in seiner aktuellen Stellungnahme auf den Anfang März 2021 bekanntgewordenen Vorfall ein. Die Anzahl der anfälligen Server, auf denen alte Versionen von „Exchange“ ausgeführt werden, auf denen die kürzlich veröffentlichten Sicherheitspatches nicht direkt angewendet werden könnten, sei laut „Expanse-Internet“-Scans vom 8. und 11. März 2021 um über 30 Prozent von geschätzten 125.000 auf 80.000 gesunken.

Unternehmen, die Exchange ausführen, sollten davon auszugehen, kompromittiert zu sein

„Ich habe noch nie gesehen, dass die Sicherheitspatch-Raten für ein System so hoch sind, geschweige denn für ein System, das so weit verbreitet ist wie ,Microsoft Exchange‘“, berichtet Kraning und führt aus: „Wir fordern Unternehmen, die alle Versionen von ,Exchange‘ ausführen, dringend auf, davon auszugehen, dass sie kompromittiert wurden, bevor sie ihre Systeme gepatcht haben, da wir wissen, dass Angreifer diese ,Zero-Day‘-Sicherheitslücken mindestens zwei Monate lang in freier Wildbahn ausnutzten, bevor Microsoft die Patches am 2. März veröffentlichte.“
Palo Alto Networks habe demnach die „Expanse“-Plattform verwendet, um im Internet exponierte Server zu identifizieren, auf denen alte Versionen von „Exchange“ ausgeführt werden, auf denen der kürzlich veröffentlichte Sicherheitspatch für die „Zero-Day“-Sicherheitslücken nicht direkt angewendet werden könne.

Die 12 Länder mit der größten Anzahl anfälliger Exchange-Server:

Hier sind laut Kraning die zwölf Länder mit der größten Anzahl bestätigter anfälliger „Exchange“-Server ab dem 11. März 2021:

• USA – 20.000
• Deutschland – 11.000
• Großbritannien – 4.900
• Frankreich – 4.000
• Italien – 3.700
• Russland – 2.900
• Kanada – 2.700
• Schweiz – 2.500
• Australien – 2.200
• China – 2.100
• Österreich – 1.700
• Niederlande – 1.600

Außerdem habe Palo Alto Networks den zeitlichen Ablauf der aktuell heiß diskutierten IT-Attacke rekonstruiert.

Palo Alto Networks rekonstruierte Zeitleiste der Cyber-Angriffe auf Microsoft Exchange Server…

Die „Unit 42“, das Bedrohungsforschungsteam von Palo Alto Networks, habe neue Erkenntnisse zu den jüngsten Cyber-Angriffen auf „Microsoft Exchange Server“ gewonnen. „Ein Blick zurück: Am 2. März wurden Sicherheitsexperten auf vier kritische ,Zero-Day‘-Schwachstellen in ,Microsoft Exchange Server‘ aufmerksam (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 und CVE-2021-27065).“
Gleichzeitig mit dem Bekanntwerden dieser Schwachstellen habe Microsoft Sicherheitsupdates und technische Anleitungen veröffentlicht, welche die Wichtigkeit des sofortigen Patchens betont hätten, und habe auf die aktive und laufende Ausnutzung durch eine „Advanced Persistent Threat“ (APT) namens „HAFNIUM“ hingewiesen. Seit den ersten Angriffen hätten die „Unit 42“ und eine Reihe anderer Threat-Intelligence-Teams festgestellt, dass mehrere Bedrohungsgruppen diese „Zero-Day“-Schwachstellen nun in freier Wildbahn ausnutzten.

Angreifer versuchen weiter, anfällige Exchange-Systeme vor dem Patchen zu kompromittieren

Sowohl die Schwachstellen selbst als auch der Zugriff, welcher durch deren Ausnutzung erreicht werden könne, seien erheblich. Es sei daher nicht überraschend, dass mehrere Angreifer versucht hätten und weiterhin versuchten, anfällige Systeme zu kompromittieren, bevor diese von Netzwerkadministratoren gepatcht werden. „Diese Angriffe geschahen in einem noch nie dagewesenen Ausmaß.“
Anhand der rekonstruierten Zeitachse sei nun klar, dass zwischen der ersten bekannten Ausnutzung dieser Schwachstelle am 3. Januar 2021 und der Veröffentlichung des Patches durch Microsoft am 2. März 2021 mindestens 58 Tage gelegen hätten. „Das Aufspielen des Patches ist ein notwendiger erster Schritt, aber nicht ausreichend, wenn man bedenkt, wie lange die Schwachstelle in der freien Wildbahn war.“ Das Aufspielen des Patches beseitige nicht den Zugang, den Angreifer möglicherweise bereits zu anfälligen Systemen erlangt haben. Unternehmen könnten sich im Leitfaden der „Unit 42“ für Abhilfemaßnahmen über die nötigen Schritte informieren, um sicherzustellen, dass sie ihre „Exchange Server“ ordnungsgemäß abgesichert haben.

Unit 42 bitte andere Forschungsteams, ihre Erkenntnisse zum Vorfall mit Exchange Server mitzuteilen

In der zweiten Woche nach Bekanntwerden der Schwachstellen gebe es erste Schätzungen, dass die Zahl der betroffenen Unternehmen in die Zehntausende gehe. Dies stelle damit die Auswirkungen des jüngsten „SolarStorm“-Angriffs auf die Lieferkette in Bezug auf die Zahl der Opfer und die geschätzten Kosten für die Beseitigung der Schwachstellen weltweit in den Schatten. Angesichts der Bedeutung dieses Ereignisses habe die „Unit 42“ eine Zeitleiste des Angriffs veröffentlicht, welche auf den umfangreichen Recherchen zu den derzeit verfügbaren Informationen und der direkten Erfahrung bei der Abwehr solcher Angriffe basiere. „Während sich die Situation weiterentwickelt, bittet ,Unit 42‘ auch andere Forschungsteams, ihre Erkenntnisse mitzuteilen, damit sich die Cyber-Sicherheitscommunity so schnell wie möglich ein vollständiges Bild machen kann.“

Nicht nur bei Exchange: Hochqualifizierte Angreifer nutzen neue Schwachstellen aus

Laufende Untersuchungen zeigten, dass diese Schwachstellen von mehreren Bedrohungsgruppen ausgenutzt würden. „Es ist nicht neu, dass hochqualifizierte Angreifer neue Schwachstellen in verschiedenen Produkt-Ökosystemen ausnutzen. Die Art und Weise, wie diese Angriffe durchgeführt werden, um die Authentifizierung zu umgehen und damit unberechtigten Zugriff auf E-Mails zu erhalten und ,Remote Code Execution‘ (RCE) zu ermöglichen, ist jedoch besonders perfide.“
Die „Unit 42“ geht davon aus, „dass die Angriffe, die diese Schwachstellen ausnutzen, sich nicht nur fortsetzen, sondern auch an Umfang zunehmen werden“. Dies werde sich wahrscheinlich auch in vielfältigeren Angriffen mit unterschiedlichen Motiven äußern, wie etwa die Infektion und/oder Verteilung von Ransomware. Aufgrund der Tatsache, dass aktive Angriffe verschiedener Bedrohungsgruppen, welche diese Schwachstellen ausnutzten, andauerten, sei es zwingend erforderlich, die betroffenen Systeme nicht nur zu patchen, sondern auch die Anleitungen zu befolgen, welche die „Unit 42“ in einem früheren „Remediation Blog“ beschrieben habe.

Weitere Informationen zum Thema:

datensicherheit.de, 11.03.2021
Microsoft Exchange: Vermehrt Datenpannen-Meldungen in Rheinland-Pfalz / Dutzend Nachfragen sowie Meldungen von Verletzungen des Schutzes personenbezogener Daten

datensicherheit.de, 08.03.2021
Erfolgreicher Angriff: Mehr als zehntausend lokale Microsoft Exchange Server betroffen

datensicherheit.de, 03.03.2021
Microsoft Exchange: Zero-Day-Lücken ermöglichen Industriespionage

paloalto NETWORKS, Unit 42, 11.03.2021
Microsoft Exchange Server Attack Timeline

paloalto NETWORKS, Unit 42, 09.03.2021
Remediation Steps for the Microsoft Exchange Server Vulnerabilities

Microsoft Security Response Center, 05.03.2021
Microsoft Exchange Server Vulnerabilities Mitigations – updated March 9,

Microsoft, 02.03.2021
New nation-state cyberattacks