Exchange-Lücken: BSI sieht hierzulande zehntausende Server betroffen

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) mahnt anhand mehrerer als kritisch eingestufter Schwachstellen in verschiedene Versionen von Microsofts Exchange-Server vor einem IT-Security-Fiasko. Zehntausende Rechner mit der Groupware-Software seien allein in Deutschland auf Basis der Lücken über das Internet angreifbar und „mit hoher Wahrscheinlichkeit bereits mit Schadsoftware infiziert“, erklärt die Behörde auf Basis von Zahlen der aufs Internet der Dinge spezialisierten Suchmaschine Shodan.

Weiterführende Angriffe mit geringem Aufwand

„Betroffen sind Organisationen jeder Größe“, schreibt das BSI. Das Amt hat dazu bereits eine Sicherheitswarnung herausgegeben. Angesichts der erhöhten Gefahr hat es zudem nach eigenen Angaben begonnen, potenziell Betroffene direkt zu informieren. So habe es am Freitag die Geschäftsführungen von mehr als 9000 mittelständischen Unternehmen postalisch angeschrieben und Gegenmaßnahmen empfohlen. Die tatsächliche Anzahl verwundbarer Systeme in Deutschland schätzt die Behörde deutlich höher ein.

Allen Betreibern von betroffenen Exchange-Servern rät das BSI, sofort die von Microsoft in der Nacht zum Mittwoch bereitgestellten Sicherheitsupdates einzuspielen. Die damit geschlossenen Schwachstellen würden derzeit „aktiv von einer Angreifer Gruppe“ per Fernzugriff ausgenutzt. „Zusätzlich besitzen Exchange-Server standardmäßig in vielen Infrastrukturen hohe Rechte im Active Directory“, warnt das Amt. Es sei daher denkbar, dass weitergehende Angriffe mit den Rechten eines übernommenen Systems potenziell „mit geringem Aufwand auch die gesamte Domäne kompromittieren können“.

Kleine und mittlere Unternehmen oft mit Sicherheitslücken

Bei Servern, die bis dato nicht gepatched wurden, geht das BSI davon aus, dass diese bereits von den kriminellen Hackern übernommen worden sind und von diesen kontrolliert werden. Aufgrund der öffentlichen Verfügbarkeit von Exploit-Codes zum einfachen Ausnutzen der Schwachstellen sowie „starken weltweiten Scan-Aktivitäten“ bestehe momentan ein sehr hohes Angriffsrisiko. Anfällige Exchange-Systeme sollten daher dringend auch auf Auffälligkeiten geprüft werden. Das BSI-Lagezentrum stelle rund um die Uhr aktuelle Informationen dazu zur Verfügung.

Erschwerend kommt der Behörde zufolge hinzu, dass tausende Systeme noch Lücken aufweisen, die seit über einem Jahr bekannt sind und noch nicht geflickt wurden. Oft sei dies bei kleinen und mittleren Unternehmen der Fall. Neben dem Zugriff auf die E-Mail-Kommunikation der betroffenen Firmen lasse sich von Angreifern über solche verwundbaren Server oft auch der Zugriff auf das komplette Unternehmensnetzwerk erlangen.

Hackergruppe arbeitet vermutlich für chinesische Regierung

Die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) hatte bereits am Mittwoch mit einer Notfallrichtlinie alle Bundesbehörden angewiesen, die aktuellen Patches für Exchange einzuspielen. Sie begründet den Einsatz dieses selten ausgeübten Instruments mit einem nicht akzeptablen Risiko, nicht aktiv zu werden, da die Schwachstellen im großen Stil ausgenutzt würden und die Angreifer sich damit „andauernden Systemzugang“ verschafften.

Microsoft sieht hinter der Angriffswelle die Hackergruppe Hafnium, die nach Einschätzung des Konzern „mit hoher Wahrscheinlichkeit“ für die chinesische Regierung arbeitet. Die Angreifer hätten es etwa bereits auf Forscher im Gesundheitswesen, Anwaltskanzleien, zivilgesellschaftliche Organisationen, Bildungseinrichtungen und Rüstungsunternehmen abgesehen, aber auch zivile Unternehmen wie Sozialverbände, Logistikunternehmen werden Opfer sein.

Fokus auf E-Mail-Verkehr

Laut dem Portal „Krebs On Security“ sind mindestens 30.000 Organisationen in den vergangenen Tagen von der besonders aggressiv vorgehenden Cyberspionage-Truppe gehackt worden. Darunter befänden sich viele mittelständische Firmen, aber auch Städte- und Gemeindeverwaltungen. Die Angreifer seien vor allem auf den E-Mail-Verkehr der Einrichtungen scharf.

Bei jedem Vorfall haben die Eindringlinge dem Bericht nach eine „Web-Shell“ hinterlassen, ein einfach zu bedienendes, passwortgeschütztes Hacking-Werkzeug, auf das über das Internet von jedem Browser aus mit Administrator-Rechten zugegriffen werden könne. Weltweit habe die Gruppe nach Angaben von Cybersicherheits-Experten schon die Kontrolle über hunderttausende Exchange-Servern übernommen.

Spione ausländischer Regierungen

Der erste Hinweis auf die Exchange-Schwachstellen kam laut Microsoft von der IT-Sicherheitsfirma Volexity aus Virginia. Dessen Chef Stevan Adair erklärte, das Unternehmen arbeite an Dutzenden von Fällen, bei denen bereits am 28. Februar und so vor der Herausgabe der Updates durch Microsoft Web-Shells auf Zielsysteme aufgespielt worden seien. Selbst wenn die Lücken noch am Mittwoch gepatcht worden seien, bestehe eine hohe Wahrscheinlichkeit, dass sich die Hackersoftware bereits auf einem anfälligen Server befinde. Die neue Angriffswelle markiert nach dem sogenannten Solarwinds-Hack den zweiten Fall einer groß angelegten Cyber-Kampagne, hinter der die USA Spione ausländischer Regierungen am Werk sehen.