Hochkritische Sicherheitslücke in Microsoft Exchange-Mail-Servern - HAFNIUM

Was war passiert und bin ich betroffen?

Microsoft hat am Mittwoch, den 3. März 2021, zusammen mit einer Warnung, kurzfristig neue Sicherheitsupdates für den Exchange-Server veröffentlicht, um vier Schwachstellen zu schließen. Diese wurden zu diesem Zeitpunkt bereits aktiv von einer - sehr wahrscheinlich staatlich unterstützte - Angreifer Gruppe (Hafnium) ausgenutzt.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat nach der Warnung am 03.03. die IT-Bedrohungslage am 08.03.2021 auf "rot" hochgestuft. Das ist die höchste Stufe und bedeutet "extrem kritisch, mit Ausfall vieler Dienste, der Regelbetrieb kann nicht aufrechterhalten werden".

Cyber-Sicherheitswarnungen des BSI

Alleine in Deutschland waren von der Schwachstelle über 25.000 lokale Exchange-Server 2010, 2013, 2016 und 2019 in Unternehmen und Einrichtungen jeder Größe betroffen, darunter auch sechs Bundesbehörden.

Informationen zum Microsoft Exchange-Sicherheitsupdate

Noch in der Nacht vom 03.03. haben unsere IT-Spezialisten die neuen Updates auf allen Servern unserer Vertragskunden eingespielt, welche sich bei bitfire im aktiven Monitoring inkl. Patch-Management durch SafeServer oder SafeIT befinden.

Wie sich im Nachhinein herausgestellt hat, war die Geschwindigkeit entscheidend dafür, dass es bei keinem dieser Systemen zu einer Infektion, oder einem Datenabfluss gekommen ist. Im Gegensatz zu tausenden anderen Servern, die im Laufe der darauffolgenden Tage kompromittiert wurden.
 
Der größte Teil unserer Kunden arbeitet mittlerweile nicht mehr mit einem lokalen Mail-Server, sondern mit dem Cloud-Dienst Microsoft 365.
Dieser Dienst war von der Schwachstelle nicht betroffen.

 

Folgen des Hackerangriffs

Wir gehen, ebenso wie das BSI, davon aus, dass bei dem Hackerangriff massiv Daten (E-Mails, Kontakte, usw.) abgeflossen sind und diese jetzt systematisch für weitere Angriffsversuche verwendet werden, um z.B. mittels Social Engineering (Identitätsklau) weiteren Schaden beim Kunden zu verursachen, bzw. Lösegeld zu erpressen.
 
Wir können von ersten Fällen berichten, bei denen Kunden mit falscher Identität von angeblichen Mitarbeitern des tatsächlichen IT-Dienstleisters oder Microsofts angerufen wurden, um sich auf die Systeme aufzuschalten.
 
Weiterhin wurde bereits beobachtet, dass auf E-Mails geantwortet wurde, die vorher offensichtlich abgezogen wurden, sodass es so aussieht, als würde man eine Antwort im eigenen Kontext erhalten.

 

Datenschutzverletzung

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) weißt mit Pressemeldung vom 9. März darauf hin, dass es bei Unternehmen, die bis dahin noch keine Updates und Analysen an den IT-Systemen vorgenommen haben, automatisch von einer meldepflichtigen Datenschutzverletzung ausgeht. Alle anderen Fälle müssen im Einzelfall geprüft werden.

Pressemitteilung des Landesamt für Datenschutzaufsicht

 

Kurzfristige Maßnahmen

•    dringend Sicherheitsupdates einspielen
•    Server auf Infektion prüfen (Microsoft hat hierfür Skripte bereitgestellt)
•    bei kleinsten Anzeichen einer Infektion Spezialisten hinzuziehen

 

Empfehlungen von bitfire

•    regelmäßiges Einspielen von Sicherheitsupdates (alle Server und Clients)
•    Backup-Konzept überprüfen und IT-Notfallplan erstellen
•    Umstieg auf Exchange Online (Office 365)

 

Sprechen Sie uns bei Fragen jederzeit gerne an.
Sie erreichen uns telefonisch unter Tel. 0971-73017-20, oder über unser Kontaktformular.

Zum Kontaktformular