Cyberangriff auf Exchange Server der Europäischen Bankenaufsichtsbehörde
Die Europäische Bankenaufsichtsbehörde EBA ist Opfer eines Cyberangriffs auf ungepatchte Microsoft Exchange Server geworden.
(Bild: antb/Shutterstock.com)
- Günter Born
Die europäische Bankenaufsichtsbehörde European Banking Authority (EBA) ist nach eigenen Angaben Opfer eines derzeit laufenden Cyberangriffs gegen Microsoft Exchange Server geworden. Derzeit sind mehrere Organisationen weltweit von solchen Angriffen betroffen, nun auch die Exchange Server der EBA, wie die Bankenaufsicht am Sonntag mitteilte.
Die EBA habe sofort, nachdem der Cyberangriff aufgefallen war, eine umfassende Untersuchung in enger Zusammenarbeit mit ihrem IKT-Provider und einem Team von Forensikern eingeleitet, teilte die Behörde am Sonntag in Paris mit. Aktuell lägen jedoch noch keine Details vor. Auch das Datum des Cyberangriffs und wann er bemerkt wurde, nannte die EBA nicht.
Angriff auf Microsoft Exchange Server
Die EBA teilte lediglich mit, dass eine ausgenutzte Sicherheitslücke mit den eigenen E-Mail-Servern zusammenhängt. Daher vermutet die Behörde, dass der oder die Angreifer über die auf diesen Servern gespeicherten E-Mails Zugriff auf persönliche Daten erhalten habe. Aktuell heißt es von der EBA, dass man daran arbeitet, herauszufinden, auf welche Daten überhaupt zugegriffen wurde. Gegebenenfalls will die Aufsichtsbehörde Informationen über Maßnahmen zur Verfügung stellen, die Betroffene ergreifen können, um mögliche negative Auswirkungen abzumildern.
Als Vorsichtsmaßnahme hat die EBA ihre E-Mail-Systeme offline genommen. Weitere Informationen will die Behörde zu gegebener Zeit veröffentlichen. Sobald die E-Mail-Kommunikationskanäle wiederhergestellt sind, kann der Datenschutzbeauftragte, Jonathan Overett Somnier, unter dpo@eba.europa.eu kontaktiert werden.
Cyberangriffe auf ungepatchte Exchange Server
Hintergrund sind 0-day-Schwachstellen in Exchange. Zum 2. März 2021 veröffentlichte Microsoft ein reguläres Sicherheitsupdate für seine On-Premises Exchange Server, um vier bisher unbekannte (0-day-)Schwachstellen in seinen Produkten zu schließen. Microsoft gab zwar an, dass Angreifer für eine erfolgreiche Attacke eine nicht vertrauenswürdige Verbindung zum Exchange-Server-Port 443 aufbauen müssen. Erst wenn das gegeben ist, können Angreifer die vier Sicherheitslücken (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065) ausnutzen und diese miteinander kombinieren, stufte die Schwachstellen aber teilweise als kritisch ein. Auffällig war zudem, dass nicht nur Exchange Server 2013 bis 2019 gepatcht wurden. Auch der im Oktober 2020 aus dem Support herausgefallene Exchange Server 2010 erhielt ein kumulatives Sicherheitsupdate.
In der ersten Märzwoche warnten Behörden wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) oder das US-CERT, dass Zehntausende Exchange Server über das Internet erreichbar und mit hoher Wahrscheinlichkeit Opfer einer laufenden Angriffswelle geworden seien. Microsoft schreibt die Angriffe der vermutlich staatsnahen chinesischen Hafnium-Hackergruppe zu. Diese hatte seit Monaten diverse Exchange Server von US-Institutionen über die jetzt geschlossenen Schwachstellen erfolgreich kompromittiert. Nach Freigabe der kumulativen Sicherheitsupdates zum 2. März 2021 startete eine regelrechte Angriffskampagne, bei der das Internet nach erreichbaren Exchange Servern gescannt wurde. Zeitweise wurden Tausende ungepatchte und per Internet erreichbare Exchange Server mit einer Webshell als Backdoor infiziert.
Sicherheitsanbieter Rapid7 geht von 170.000 gefährdeten Exchange-Servern aus, wobei es in den USA und in Deutschland wohl "Hot-Spots" mit mehr als 10.000 infizierten Instanzen geben soll. Recherchen zufolge, wurden zwei der Schwachstellen bereits im Dezember 2020 durch die taiwanesische Firma DEVCORE entdeckt und an Microsoft gemeldet.
Patchen infizierter Systeme hilft nicht
Offenbar war die Problematik also bereits vor der jetzt laufenden Cyberangriffs-Kampagne bekannt. Die Timeline zu den Proxylogon-Schwachstellen lässt sich hier einsehen. Sicherheitsforscher des entdeckenden Sicherheitsanbieters Volexity betrachten das Ganze als tickende Zeitbombe. Denn das Patchen mit den veröffentlichten Sicherheitsupdates hilft nicht, wenn die Hafnium-Gruppe bereits eine Webshell als Backdoor installiert hat. Zudem konnte es bei der Installation der kumulativen Sicherheitsupdates dazu kommen, dass die Schwachstellen nicht geschlossen wurden.
Prüfscripte und Tools zum Erkennen von Infektionen
Immerhin hat Microsoft inzwischen Prüfscripte für Exchange Server bereitgestellt, mit denen sich die Instanzen auf Anzeichen eines Befalls scannen lassen. Allerdings funktionieren diese Scripte unter Exchange Server 2010 nicht. Weiterhin gibt es von Microsoft Aktualisierungen der Signaturen für den Microsoft Defender und das eigenständige Microsoft Support Emergency Response Tool (MSERT), die eine Infektion samt installierte Webshell-Hintertüren erkennen.
Sicherheitsforscher Stefan Kanthak warnt jedoch, dass das Microsoft Support Emergency Response Tool (MSERT) selbst durch enthaltene DLL-Hijacking-Schwachstellen ein Sicherheitsrisiko darstellt. Unter diesen Aspekten könnten in den kommenden Tagen weitere Enthüllungen über prominente Opfer der Hafnium-Exchange-Hacking-Kampagne zu erwarten sein.
Die EBA hat ihren Sitz in Paris und ist Bestandteil des europäischen Finanzaufsichtssystems und für die Finanzmarktaufsicht in der Europäischen Union zuständig. Die Behörde betreibt Exchange Server an ihrem Standort, über die auch die E-Mail-Kommunikation abgewickelt wird.
(olb)
