Der Hafnium Exchange-Server-Hack: Anatomie einer Katastrophe
Hätte Microsoft den Massenhack von Exchange-Servern mit rascheren Reaktionen verhindern verhindern können? Der Ablauf der Ereignisse wirft Fragen auf.
(Bild: Photon photo/Shutterstock.com)
- Günter Born
Als Microsoft zum 3. März 2021 mit einem außerplanmäßigen Sicherheitsupdate vier Schwachstellen in Microsofts Exchange Server 2010 bis 2019 geschlossen hatte, stellte der Hersteller die Bedrohung noch als recht gering dar. Inzwischen läuft eine beispiellose Angriffswelle gegen entsprechende Exchange-Instanzen und das Bundesamt für Sicherheit in der Informationstechnik (BSI) ruft die Alarmstufe Rot aus.
Microsoft macht eine mutmaßlich staatsnahe, aus China operierende Gruppe namens Hafnium für die Angriffe verantwortlich. Doch es mehren sich Stimmen, die zumindest einen Teil der Verantwortung bei Microsoft sehen. Eine Analyse der Abläufe zeigt, warum.
Das Vorspiel
Sicherheitsforscher des in Taiwan angesiedelten Unternehmens Devcore untersuchten die Sicherheit von Exchange-Systemen und stießen am 10. Dezember 2020 auf die erste, als ProxyLogon bezeichnete Schwachstelle CVE-2021-26855. Diese ermöglicht Angreifern, die reguläre Authentifizierung zu umgehen und sich als Administrator eines Exchange-Servers anzumelden. Im Rahmen der Untersuchungen fanden die Sicherheitsforscher eine weitere Schwachstelle, über die sie Dateien für eine Remote Code-Ausführung (RCE) in Exchange platzieren konnten.
Daraus bauten sie einen funktionsfähigen Proof of Concept Exploit. Mit dem ließ sich die Exchange-Authentifizierung umgehen und der Server kompromittieren. Am 5. Januar 2021 informierten sie das Microsoft Security Resource Center (MSRC), wie Devcore auf der Proxylogon-Seite dokumentiert.
Das MSRC bestätigte die Schwachstellen und den PoC im Zeitraum 6. bis 8. Januar 2021, stellte aber bis Anfang Februar 2021 kein Sicherheitsupdate bereit. Auf Nachfrage der Sicherheitsforscher hieß es, verschiedene Aspekte seien zur einzelnen Überprüfung aufgeteilt worden. Microsoft versprach, mindestens einen Fix freizugeben, bevor die Frist zur Veröffentlichung der Schwachstelle ablaufen werde.
Im Verlauf der Korrespondenz kündigte Microsoft am 18. Februar den 9. März 2021 (Patchday) als Termin für die Freigabe der Exchange-Sicherheitsupdates an. Doch dann veröffentlichte Microsoft die Sicherheitsupdates außerplanmäßig bereits am 3. März 2021 mitsamt einer Sicherheitswarnung.
Die Angriffe
Brisant wird der Zeitablauf, wenn man die Angriffe über die zum 3. März 2021 geschlossenen Exchange-Schwachstellen dagegen spiegelt, wie es der US-Sicherheitsblogger Brian Krebs in seiner Timeline des Exchange-Massenhacks macht. Bereits am 6. Januar 2021 beobachtete nämlich die Sicherheitsfirma Volexity Angriffe über eine bis dahin nicht öffentlich bekannte Schwachstelle auf Exchange-Servern.
Da Microsoft alles und jedes Produkt mit Telemetrie verwanzt und große Anwender angeblich mit Defender Advanced Threat Protection schützt, stellt sich eine Frage: "Sind diese Tools für so etwas blind, oder hat man in Redmond schlicht gepennt?"
Jedenfalls haben am 27. Januar 2021 Sicherheitsforscher der Firma Dubex Microsoft über aktive Angriffe auf Exchange-Server informiert. Bereits am 29. Januar 2021 berichtete Trend Micro in einem Blog-Beitrag von Angreifern, die über Schwachstellen eine Webshell als Hintertür auf Exchange-Servern installierten. Der Praktiker hätte es ab diesem Zeitpunkt mit "da brennt die Hütte" umschrieben. Am 2. Februar 2021 warnte auch Volexity Microsoft.