Heute teilen wir zum ersten Mal Informationen über einen neuen staatlich unterstützten Bedrohungsakteur, der vom Microsoft Threat Intelligence Center (MSTIC) identifiziert wurde und den wir Hafnium nennen. Hafnium operiert aus China und ist ein sehr versierter und hochentwickelter Akteur.
In der Vergangenheit hatte es Hafnium vor allem auf Organisationen in den USA abgesehen, um Informationen aus verschiedenen Industriezweigen abzugreifen, darunter Forschungseinrichtungen für Infektionskrankheiten, Anwaltskanzleien, Hochschulen, Verteidigungsunternehmen, politische Think Tanks und Nichtregierungsorganisationen (NGOs). Obwohl Hafnium seinen Sitz in China hat, führt er seine Operationen hauptsächlich von gemieteten virtuellen privaten Servern (VPS) in den Vereinigten Staaten aus.
In jüngster Zeit hat Hafnium eine Reihe von Angriffen mit bisher unbekannten Exploits durchgeführt, die auf lokale Exchange Server-Software abzielen. Bislang ist Hafnium der Hauptakteur, der diese Exploits verwendet hat. Detaillierte Informationen dazu hat das MSTIC hier bereitgestellt. Die Angriffe umfassen drei Schritte:
- Hafnium verschafft sich Zugang zu einem Exchange Server, entweder mit gestohlenen Passwörtern oder indem er zuvor unentdeckte Schwachstellen nutzt, um sich als jemand auszugeben, der oder die eigentlich Zugang haben sollte. Organisationen können sich davor schützen, indem sie vertrauenswürdige Verbindungen einschränken oder einen VPN einrichten, um den Exchange Server vom externen Zugriff zu trennen. Diese Maßnahmen können jedoch nur vor dem ersten Schritt eines Hafnium-Angriffs schützen. Die weiteren Angriffsschritte können ausgelöst werden, wenn ein Angreifer bereits Zugriff hat oder eine*n Administrator*in dazu bringen kann, eine schädliche Datei auszuführen.
- Dann erstellt Hafnium eine sogenannte Web-Shell, um den kompromittierten Server aus der Ferne zu steuern.
- Den Fernzugriff nutzt Hafnium – ausgeführt von den privaten Servern in den USA –, um Daten aus dem Netzwerk einer Organisation zu stehlen.
Um unsere Kunden vor Angriffen durch Hafnium zu schützen, konzentrieren wir uns auf die Exploits, die sie erst möglich machen. Dazu haben wir Sicherheitsupdates veröffentlicht, mit denen wir unsere Kunden schützen, die Exchange Server einsetzen. Wir wissen, dass nationalstaatliche Akteure und kriminelle Gruppen sehr schnell agieren, um ungepatchte Systeme auszunutzen. Die sofortige Installation der heutigen Patches ist der beste Schutz gegen diesen Angriff. Wir raten daher allen Exchange Server-Kunden, diese Updates sofort zu installieren. Exchange Server wird in erster Linie von Geschäftskunden verwendet. Aktuell liegen uns keine Hinweise dazu vor, dass die Angriffe von Hafnium auf einzelne Verbraucher*innen abzielen oder dass sie andere Microsoft-Produkte betreffen.
Neben diesen neuen Schutzmaßnahmen für unsere Kunden haben wir auch die zuständigen US-Regierungsstellen über die Aktivitäten von Hafnium informiert. Dies ist das achte Mal in den letzten 12 Monaten, dass Microsoft die Angriffe von nationalstaatlichen Hackergruppen auf zivilgesellschaftliche Institutionen aufgedeckt hat. Dazu gehörten u.a. Angriffe auf Gesundheitsorganisationen, die gegen Covid-19 kämpfen, auf politische Kampagnen im Kontext der Wahlen 2020 und auf hochkarätige Teilnehmer*innen von wichtigen politischen Konferenzen.
Wir freuen uns sehr darüber, dass viele Organisationen freiwillig ihre sicherheitsrelevanten Daten teilen – untereinander und mit staatlichen Institutionen, die sich für den Schutz vor Cyberbedrohungen einsetzen. Unser Dank geht an die Forschenden von Volexity und Dubex, die uns über Aspekte dieser neuen Hafnium-Aktivitäten informiert und mit uns zusammengearbeitet haben, um die Angriffe auf verantwortungsvolle Weise zu behandeln. Informationen über Cyberangriffe müssen in großem Umfang und schnell weitergegeben werden, damit wir alle in der Lage sind, uns besser gegen sie zu verteidigen. Aus diesem Grund hat Microsoft-Präsident Brad Smith vor kurzem vor dem US-Kongress erklärt, dass wir Schritte unternehmen müssen, um eine Meldepflicht für Cybervorfälle einzuführen.
Die Exploits, über die wir heute sprechen, standen in keinem Zusammenhang mit den Angriffen auf SolarWinds. Wir sehen weiterhin keine Beweise dafür, dass der Akteur hinter SolarWinds eine Sicherheitslücke in Microsoft-Produkten und -Diensten entdeckt oder ausgenutzt hat.
Zum Schutz unserer Kunden vor Hafnium haben wir Sicherheitsupdates veröffentlicht, die Exchange Server-Kunden unverzüglich installieren sollten. Betroffenen Kunden empfehlen wir nicht mit dem Einspielen der verfügbaren Updates zu warten. Microsoft Exchange Online Kunden sind nicht betroffen. Weitere Informationen dazu bietet dieser Beitrag.
Kunden, die Unterstützung bei der Aktualisierung ihrer Exchange Server benötigen, können sich an ihren bekannten Microsoft Ansprechpartner oder aber an einen zertifizierten Microsoft Partner wenden. Sollten Sie noch nicht mit einem Microsoft Partner in Kontakt sein, so können Sie über die Partnersuche einen Partner finden.
Weitere Informationen und Ressourcen sowie Update Guidance gibt es in diesen englischen Beiträgen:
- Multiple Security Updates Released for Exchange Server – Microsoft Security Response Center
- Released: March 2021 Exchange Server Security Updates – Microsoft Tech Community
- HAFNIUM targeting Exchange Servers with 0-day exploits – Microsoft Security
- March 2021 Exchange Server Security Updates for older Cumulative Updates of Exchange Server
Ein Beitrag des Microsoft Security Threat Response Teams