Der Hafnium Exchange-Server-Hack: Anatomie einer Katastrophe

Inhaltsverzeichnis

Als Microsoft zum 3. März 2021 mit einem außerplanmäßigen Sicherheitsupdate vier Schwachstellen in Microsofts Exchange Server 2010 bis 2019 geschlossen hatte, stellte der Hersteller die Bedrohung noch als recht gering dar. Inzwischen läuft eine beispiellose Angriffswelle gegen entsprechende Exchange-Instanzen und das Bundesamt für Sicherheit in der Informationstechnik (BSI) ruft die Alarmstufe Rot aus.

Microsoft macht eine mutmaßlich staatsnahe, aus China operierende Gruppe namens Hafnium für die Angriffe verantwortlich. Doch es mehren sich Stimmen, die zumindest einen Teil der Verantwortung bei Microsoft sehen. Eine Analyse der Abläufe zeigt, warum.

Das Vorspiel

Sicherheitsforscher des in Taiwan angesiedelten Unternehmens Devcore untersuchten die Sicherheit von Exchange-Systemen und stießen am 10. Dezember 2020 auf die erste, als ProxyLogon bezeichnete Schwachstelle CVE-2021-26855. Diese ermöglicht Angreifern, die reguläre Authentifizierung zu umgehen und sich als Administrator eines Exchange-Servers anzumelden. Im Rahmen der Untersuchungen fanden die Sicherheitsforscher eine weitere Schwachstelle, über die sie Dateien für eine Remote Code-Ausführung (RCE) in Exchange platzieren konnten.

Daraus bauten sie einen funktionsfähigen Proof of Concept Exploit. Mit dem ließ sich die Exchange-Authentifizierung umgehen und der Server kompromittieren. Am 5. Januar 2021 informierten sie das Microsoft Security Resource Center (MSRC), wie Devcore auf der Proxylogon-Seite dokumentiert.

Das MSRC bestätigte die Schwachstellen und den PoC im Zeitraum 6. bis 8. Januar 2021, stellte aber bis Anfang Februar 2021 kein Sicherheitsupdate bereit. Auf Nachfrage der Sicherheitsforscher hieß es, verschiedene Aspekte seien zur einzelnen Überprüfung aufgeteilt worden. Microsoft versprach, mindestens einen Fix freizugeben, bevor die Frist zur Veröffentlichung der Schwachstelle ablaufen werde.

Im Verlauf der Korrespondenz kündigte Microsoft am 18. Februar den 9. März 2021 (Patchday) als Termin für die Freigabe der Exchange-Sicherheitsupdates an. Doch dann veröffentlichte Microsoft die Sicherheitsupdates außerplanmäßig bereits am 3. März 2021 mitsamt einer Sicherheitswarnung.

Die Angriffe

Brisant wird der Zeitablauf, wenn man die Angriffe über die zum 3. März 2021 geschlossenen Exchange-Schwachstellen dagegen spiegelt, wie es der US-Sicherheitsblogger Brian Krebs in seiner Timeline des Exchange-Massenhacks macht. Bereits am 6. Januar 2021 beobachtete nämlich die Sicherheitsfirma Volexity Angriffe über eine bis dahin nicht öffentlich bekannte Schwachstelle auf Exchange-Servern.

Da Microsoft alles und jedes Produkt mit Telemetrie verwanzt und große Anwender angeblich mit Defender Advanced Threat Protection schützt, stellt sich eine Frage: "Sind diese Tools für so etwas blind, oder hat man in Redmond schlicht gepennt?"

Jedenfalls haben am 27. Januar 2021 Sicherheitsforscher der Firma Dubex Microsoft über aktive Angriffe auf Exchange-Server informiert. Bereits am 29. Januar 2021 berichtete Trend Micro in einem Blog-Beitrag von Angreifern, die über Schwachstellen eine Webshell als Hintertür auf Exchange-Servern installierten. Der Praktiker hätte es ab diesem Zeitpunkt mit "da brennt die Hütte" umschrieben. Am 2. Februar 2021 warnte auch Volexity Microsoft.

Massenscans seit Februar

Waren es bis dahin wohl nur gezielte Angriffe auf ausgewählte Exchange-Server, begannen am 26./27. Februar 2021 Massenscans. Verwundbare Exchange-Server wurden dann automatisiert mit einer Webshell als Backdoor infiziert. Am 2. März 2021 (US-Zeit, in Europa war es der 3. März 2020) gab Microsoft die Sicherheitsupdates frei und veröffentlichte eine Analyse. Darin beschuldigt Microsoft die mutmaßlich chinesische Hafnium-Hackergruppe, Exchange-Server mit 0-Day-Exploits anzugreifen.

In der ersten Fassung des Dokuments war noch von begrenzten Angriffen auf gezielt ausgesuchte Ziele die Rede –, obwohl bereits am 26./27. Februar 2021 Massenscans beobachtet wurden. Stunden nach Veröffentlichung des außerplanmäßigen Updates und Offenlegung der vier Schwachstellen, startete die massenhafte Infektion aller per Internet erreichbaren und ungepatchten Exchange-Server. Deren Administratoren hatten kaum eine Chance, zeitnah zu reagieren.

Das Desaster nimmt seinen Lauf

Zudem gab es beim Patchen eine Falle, die dazu führte, dass die Schwachstellen unter Umständen nicht geschlossen wurden. Erschwerend hinzu kommt Microsofts Patch-Policy, die zwingend zunächst das Upgrade auf ein noch unterstütztes kumulatives Update erforderte. Da diese vierteljährlich erscheinenden CUs nicht ganz einfach einzuspielen sind und es dabei in der Vergangenheit öfter zu Problemen und Fehlfunktionen kam, befinden sich viele Server auf einem älteren Stand.

Die Folge: Die vom Hersteller veröffentlichten Patches konnten gar nicht eingespielt werden. Erst am 9. März ermöglichte Microsoft das Patchen mit älteren CU-Ständen.

Viel Arbeit für Admins

Inzwischen zeichnet sich das gesamte Desaster mit Hunderttausenden, vermutlich kompromittierten Exchange Servern ab. Alleine in Deutschland sind Zehntausende Exchange-Server betroffen, davon laut BSI einige in deutschen Bundesbehörden.

Nun sind landauf, landab Administratoren damit beschäftigt, Exchange-Server auf Zeichen einer Kompromittierung zu untersuchen und infizierte System zu bereinigen. Der Exchange-Experte Frank Carius hat dazu übrigens eine Webseite mit hilfreichen Informationen zusammen gestellt.

Eine erste Einschätzung

Die kurz-, mittel- und langfristigen Folgen dieses Massenhacks werden sich erst in den kommenden Wochen und Monaten abschätzen lassen. Jedenfalls sendet dieses Ereignis Schockwellen durch das Microsoft-Öko-System. Der obige Abriss legt nahe, dass dies eine Katastrophe mit Ansage war.

Deren Bestandteile sind: Eine verfehlte Produktpolitik (Exchange in jede Hundehütte), gepaart mit Produktmängeln (Exchange-Server zu patchen erfordert Know-how), in Kombination mit oft ungewarteten und damit über Sicherheitslücken angreifbaren Exchange-Servern. Zu dieser explosiven Gemengelage gesellt sich die Tatsache, dass sich Microsoft doch reichlich Zeit gelassen hat, die kritischen Sicherheits-Updates bereitzustellen.

Diese kamen zunächst nur für aktuelle Systeme, obwohl auch bis Redmond durchgedrungen sein dürfte, dass das viele aktive Server ausschließt. Und das alles krönt Microsoft dann mit der Chuzpe von "vereinzelten Angriffen auf ausgesuchte Ziele" zu sprechen, als längst systematisch gescannt und kompromittiert wurde.

Update 12.3.2021, 15:30: Microsoft wies uns darauf hin, dass es anders als bei den Cloud-Diensten bei On-Premise-Infrastruktur nicht möglich sei, Telemetriedaten zu erheben. Außerdem heißt Defender Advanced Threat Protection mittlerweile Microsoft Defender für Endpunkt und ist nicht standardmäßig in Microsoft-Produkte integriert, sondern muss vom Kunden gekauft und installiert werden.

(ju)