Hafnium: Microsoft Exchange-Sicherheitsupdate zum Schutz vor neuen nationalstaatlichen Attacken verfügbar

Hafnium Grafik Cybersicherheit

Heute teilen wir zum ersten Mal Informationen über einen neuen staatlich unterstützten Bedrohungsakteur, der vom Microsoft Threat Intelligence Center (MSTIC) identifiziert wurde und den wir Hafnium nennen. Hafnium operiert aus China und ist ein sehr versierter und hochentwickelter Akteur.

In der Vergangenheit hatte es Hafnium vor allem auf Organisationen in den USA abgesehen, um Informationen aus verschiedenen Industriezweigen abzugreifen, darunter Forschungseinrichtungen für Infektionskrankheiten, Anwaltskanzleien, Hochschulen, Verteidigungsunternehmen, politische Think Tanks und Nichtregierungsorganisationen (NGOs). Obwohl Hafnium seinen Sitz in China hat, führt er seine Operationen hauptsächlich von gemieteten virtuellen privaten Servern (VPS) in den Vereinigten Staaten aus.

In jüngster Zeit hat Hafnium eine Reihe von Angriffen mit bisher unbekannten Exploits durchgeführt, die auf lokale Exchange Server-Software abzielen. Bislang ist Hafnium der Hauptakteur, der diese Exploits verwendet hat. Detaillierte Informationen dazu hat das MSTIC hier bereitgestellt. Die Angriffe umfassen drei Schritte:

  1. Hafnium verschafft sich Zugang zu einem Exchange Server, entweder mit gestohlenen Passwörtern oder indem er zuvor unentdeckte Schwachstellen nutzt, um sich als jemand auszugeben, der oder die eigentlich Zugang haben sollte. Organisationen können sich davor schützen, indem sie vertrauenswürdige Verbindungen einschränken oder einen VPN einrichten, um den Exchange Server vom externen Zugriff zu trennen. Diese Maßnahmen können jedoch nur vor dem ersten Schritt eines Hafnium-Angriffs schützen. Die weiteren Angriffsschritte können ausgelöst werden, wenn ein Angreifer bereits Zugriff hat oder eine*n Administrator*in dazu bringen kann, eine schädliche Datei auszuführen.
  2. Dann erstellt Hafnium eine sogenannte Web-Shell, um den kompromittierten Server aus der Ferne zu steuern.
  3. Den Fernzugriff nutzt Hafnium – ausgeführt von den privaten Servern in den USA –, um Daten aus dem Netzwerk einer Organisation zu stehlen.

Um unsere Kunden vor Angriffen durch Hafnium zu schützen, konzentrieren wir uns auf die Exploits, die sie erst möglich machen. Dazu haben wir Sicherheitsupdates veröffentlicht, mit denen wir unsere Kunden schützen, die Exchange Server einsetzen. Wir wissen, dass nationalstaatliche Akteure und kriminelle Gruppen sehr schnell agieren, um ungepatchte Systeme auszunutzen. Die sofortige Installation der heutigen Patches ist der beste Schutz gegen diesen Angriff. Wir raten daher allen Exchange Server-Kunden, diese Updates sofort zu installieren. Exchange Server wird in erster Linie von Geschäftskunden verwendet. Aktuell liegen uns keine Hinweise dazu vor, dass die Angriffe von Hafnium auf einzelne Verbraucher*innen abzielen oder dass sie andere Microsoft-Produkte betreffen.

Neben diesen neuen Schutzmaßnahmen für unsere Kunden haben wir auch die zuständigen US-Regierungsstellen über die Aktivitäten von Hafnium informiert. Dies ist das achte Mal in den letzten 12 Monaten, dass Microsoft die Angriffe von nationalstaatlichen Hackergruppen auf zivilgesellschaftliche Institutionen aufgedeckt hat. Dazu gehörten u.a. Angriffe auf Gesundheitsorganisationen, die gegen Covid-19 kämpfen, auf politische Kampagnen im Kontext der Wahlen 2020 und auf hochkarätige Teilnehmer*innen von wichtigen politischen Konferenzen.

Wir freuen uns sehr darüber, dass viele Organisationen freiwillig ihre sicherheitsrelevanten Daten teilen – untereinander und mit staatlichen Institutionen, die sich für den Schutz vor Cyberbedrohungen einsetzen. Unser Dank geht an die Forschenden von Volexity und Dubex, die uns über Aspekte dieser neuen Hafnium-Aktivitäten informiert und mit uns zusammengearbeitet haben, um die Angriffe auf verantwortungsvolle Weise zu behandeln. Informationen über Cyberangriffe müssen in großem Umfang und schnell weitergegeben werden, damit wir alle in der Lage sind, uns besser gegen sie zu verteidigen. Aus diesem Grund hat Microsoft-Präsident Brad Smith vor kurzem vor dem US-Kongress erklärt, dass wir Schritte unternehmen müssen, um eine Meldepflicht für Cybervorfälle einzuführen.

Die Exploits, über die wir heute sprechen, standen in keinem Zusammenhang mit den Angriffen auf SolarWinds. Wir sehen weiterhin keine Beweise dafür, dass der Akteur hinter SolarWinds eine Sicherheitslücke in Microsoft-Produkten und -Diensten entdeckt oder ausgenutzt hat.

Zum Schutz unserer Kunden vor Hafnium haben wir Sicherheitsupdates veröffentlicht, die Exchange Server-Kunden unverzüglich installieren sollten. Betroffenen Kunden empfehlen wir nicht mit dem Einspielen der verfügbaren Updates zu warten. Microsoft Exchange Online Kunden sind nicht betroffen. Weitere Informationen dazu bietet dieser Beitrag.

Kunden, die Unterstützung bei der Aktualisierung ihrer Exchange Server benötigen, können sich an ihren bekannten Microsoft Ansprechpartner oder aber an einen zertifizierten Microsoft Partner wenden. Sollten Sie noch nicht mit einem Microsoft Partner in Kontakt sein, so können Sie über die Partnersuche einen Partner finden.

Weitere Informationen und Ressourcen sowie Update Guidance gibt es in diesen englischen Beiträgen:

 


Ein Beitrag des Microsoft Security Threat Response Teams

Tags: , , ,

Weitere Infos zu diesem Thema

3. Februar 2021
Windows Virtual Desktop: Mehr Sicherheit fürs Homeoffice durch Microsoft Azure

Unternehmen stehen seit Monaten vor der Herausforderung, immer wieder neue Herausforderungen durch die Corona-Krise bewältigen zu müssen. Mehr als zehn Millionen Menschen in Deutschland wechselten 2020 ins Homeoffice, zeigt eine Statistik des Digitalverbandes Bitkom. Das sind 45 Prozent aller Berufstätigen. Anders als üblich konnte dieser Schritt nicht sorgfältig geplant werden: IT-Infrastrukturen, Kollaborationslösungen und Arbeitsprozesse veränderten sich teilweise über Nacht. Ein umfassendes Adoption- und Change-Management war kaum möglich.

22. Dezember 2020
Orientierungshilfe für Partner zu den jüngsten Cyberattacken

Microsoft liegen Informationen zu einem komplexen Cyberangriff auf Lieferketten vor, von dem im Laufe des letzten Jahres eine Reihe von Organisationen betroffen waren. Die Cyberattacke nutzt schädliche SolarWinds-Dateien, mit denen sich Cyberkriminelle möglicherweise Zugriff auf interne Netzwerke von Organisationen verschafft haben. Hier finden Microsoft-Partner aktuelle Quellen und Links für die Kommunikation mit Kunden.