Seite 2: Massenscans seit Februar

Inhaltsverzeichnis

Waren es bis dahin wohl nur gezielte Angriffe auf ausgewählte Exchange-Server, begannen am 26./27. Februar 2021 Massenscans. Verwundbare Exchange-Server wurden dann automatisiert mit einer Webshell als Backdoor infiziert. Am 2. März 2021 (US-Zeit, in Europa war es der 3. März 2020) gab Microsoft die Sicherheitsupdates frei und veröffentlichte eine Analyse. Darin beschuldigt Microsoft die mutmaßlich chinesische Hafnium-Hackergruppe, Exchange-Server mit 0-Day-Exploits anzugreifen.

In der ersten Fassung des Dokuments war noch von begrenzten Angriffen auf gezielt ausgesuchte Ziele die Rede –, obwohl bereits am 26./27. Februar 2021 Massenscans beobachtet wurden. Stunden nach Veröffentlichung des außerplanmäßigen Updates und Offenlegung der vier Schwachstellen, startete die massenhafte Infektion aller per Internet erreichbaren und ungepatchten Exchange-Server. Deren Administratoren hatten kaum eine Chance, zeitnah zu reagieren.

Das Desaster nimmt seinen Lauf

Zudem gab es beim Patchen eine Falle, die dazu führte, dass die Schwachstellen unter Umständen nicht geschlossen wurden. Erschwerend hinzu kommt Microsofts Patch-Policy, die zwingend zunächst das Upgrade auf ein noch unterstütztes kumulatives Update erforderte. Da diese vierteljährlich erscheinenden CUs nicht ganz einfach einzuspielen sind und es dabei in der Vergangenheit öfter zu Problemen und Fehlfunktionen kam, befinden sich viele Server auf einem älteren Stand.

Die Folge: Die vom Hersteller veröffentlichten Patches konnten gar nicht eingespielt werden. Erst am 9. März ermöglichte Microsoft das Patchen mit älteren CU-Ständen.

Viel Arbeit für Admins

Inzwischen zeichnet sich das gesamte Desaster mit Hunderttausenden, vermutlich kompromittierten Exchange Servern ab. Alleine in Deutschland sind Zehntausende Exchange-Server betroffen, davon laut BSI einige in deutschen Bundesbehörden.

Nun sind landauf, landab Administratoren damit beschäftigt, Exchange-Server auf Zeichen einer Kompromittierung zu untersuchen und infizierte System zu bereinigen. Der Exchange-Experte Frank Carius hat dazu übrigens eine Webseite mit hilfreichen Informationen zusammen gestellt.

Eine erste Einschätzung

Die kurz-, mittel- und langfristigen Folgen dieses Massenhacks werden sich erst in den kommenden Wochen und Monaten abschätzen lassen. Jedenfalls sendet dieses Ereignis Schockwellen durch das Microsoft-Öko-System. Der obige Abriss legt nahe, dass dies eine Katastrophe mit Ansage war.

Deren Bestandteile sind: Eine verfehlte Produktpolitik (Exchange in jede Hundehütte), gepaart mit Produktmängeln (Exchange-Server zu patchen erfordert Know-how), in Kombination mit oft ungewarteten und damit über Sicherheitslücken angreifbaren Exchange-Servern. Zu dieser explosiven Gemengelage gesellt sich die Tatsache, dass sich Microsoft doch reichlich Zeit gelassen hat, die kritischen Sicherheits-Updates bereitzustellen.

Diese kamen zunächst nur für aktuelle Systeme, obwohl auch bis Redmond durchgedrungen sein dürfte, dass das viele aktive Server ausschließt. Und das alles krönt Microsoft dann mit der Chuzpe von "vereinzelten Angriffen auf ausgesuchte Ziele" zu sprechen, als längst systematisch gescannt und kompromittiert wurde.

Update 12.3.2021, 15:30: Microsoft wies uns darauf hin, dass es anders als bei den Cloud-Diensten bei On-Premise-Infrastruktur nicht möglich sei, Telemetriedaten zu erheben. Außerdem heißt Defender Advanced Threat Protection mittlerweile Microsoft Defender für Endpunkt und ist nicht standardmäßig in Microsoft-Produkte integriert, sondern muss vom Kunden gekauft und installiert werden.

(ju)