Der Software-Riese Microsoft erklärte Anfang März, dass es eine erhebliche Schwachstelle bei Microsoft Exchange gebe und veröffentlichte dazu außerplanmäßig ein Skript, dass auf die vier Sicherheitslücken hinweisen soll. Drei davon gelten als sehr kritisch.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) rief kurzerhand die IT-Bedrohungslage „rot“ aus. Über den Fernzugriff aus dem Internet können Angreifer nicht nur die Exchange-Server, sondern auch darüber hinaus das Netzwerk weiter kompromittieren – dies kann jedenfalls aktuell nicht ausgeschlossen werden.

Wichtig: Handeln!

Dies liegt daran, dass in vielen Infrastrukturen standardmäßig – und oft nicht immer gerechtfertigt – sehr hohe Rechte im Active Directory gewährt werden, die sogar eine Übernahme einer gesamten Domäne ermöglichen. Laut dem im BSI angesiedelten CERT-Bund sind aktuell 12 000 von 56 000 Exchange Servern in Deutschland verwundbar. Die Bonner Behörde rät daher dringend, die aktuellen Updates aufzuspielen.

Wer allerdings schon kompromittiert wurde, muss weiter aktiv werden: Die Updates schließen zwar die Lücken, eine bereits erfolgte Infektion können sie damit aber nicht obsolet machen. Haben die Angreifer bereits eine Hintertür auf dem Server oder den Systemen installiert, können sie womöglich auch Monate später ihren Angriff starten. Mit dem Skript von Microsoft lassen sich die Systeme auch auf solche Angriffe untersuchen.

Chinesische Hackergruppe im Verdacht

Bei der Sicherheitslücke handelt es sich um eine sogenannte Zero-Day-Lücke: Sie war davor weder dem Hersteller – Microsoft – noch seinen Kunden, sondern nur dem Angreifer bekannt. Bei den Hackern wird derzeit die staatlich unterstützte chinesische Hackergruppe Hafnium vermutet, bewiesen ist das allerdings noch nicht. Ziel sollen dabei vor allem amerikanische Unternehmen sein, dennoch gehören weltweit und auch viele deutsche Unternehmen dazu.

Microsoft schreibt hier konkret: In der Vergangenheit hatte es Hafnium vor allem auf Organisationen in den USA abgesehen, um Informationen aus verschiedenen Industriezweigen abzugreifen, darunter Forschungseinrichtungen für Infektionskrankheiten, Anwaltskanzleien, Hochschulen, Verteidigungsunternehmen, politische Think Tanks und Nichtregierungsorganisationen (NGOs). Obwohl Hafnium seinen Sitz in China hat, führt er seine Operationen hauptsächlich von gemieteten virtuellen privaten Servern (VPS) in den Vereinigten Staaten aus.

Weitere Angreifsgruppen inzwischen aktiv

Inzwischen sind nach Bekanntwerden der Sicherheitslücke weitere Angreifer auf den Zug aufgesprungen, auf heise.de ist die Rede von Ransomware und sogenannter Kryptomining-Schadsoftware, die noch nicht gepatchte oder bereits kompromittierte Server aufgrund dieser Schwachstellen infiziert haben.

„Erschwerend kommt aktuell hinzu, dass tausende Systeme noch Schwachstellen aufweisen, die seit über einem Jahr bekannt sind und noch nicht gepatcht wurden. Insbesondere kleine und mittelständische Unternehmen (KMU) könnten hiervon betroffen sein“, so das BSI.

Reagierte Microsoft zu spät?

Laut Sicherheitsexperten wusste Microsoft schon seit Anfang Januar, dass es hier eine gravierende Lücke gab, schreibt die Wirtschaftswoche. Spätestens am 5. Januar, also zwei Monate bevor der Softwarekonzern öffentlich reagierte, sei die erste Warnung dort eingegangen.

BSI-Präsident Arne Schönbohm zeigte in einem Interview mit dem Blatt Verständnis für dieses Vorgehen, der IT-Anbieter habe nur die Wahl zwischen Pest und Cholera, so Schönbohm. „Warnen sie, bevor es ein Sicherheitsupdate gibt, wird die Schwachstelle spätestens dann von anderen Hackern ausgenutzt, die sie noch nicht kannten. Warnen sie nicht, haben Hacker, die die Lücke schon kennen, ein leichtes Spiel gegen die ahnungslosen und ungeschützten Unternehmen“, so der BSI-Präsident.

Fachleute indes weisen darauf hin, dass die Adminstratoren der Systeme, wäre die Schwachstelle gleich bekannt gewesen, sofort Maßnahmen ergreifen hätten können. Etwa indem sie die Schnittstelle von außen abschalten und sie nur noch über VPN oder andere Sicherheitsmaßnahmen bereitstellen.

Schönbohm hätte sich auch schon früh eine Einbindung von Microsoft als Cyber-Sicherheitsbehörde des Bundes gewünscht. Auch hier werden Stimmen laut, die darauf hinweisen, dass Microsoft notfalls gezwungen werden müsste, die Behörden zu informieren, damit diese selbst entscheiden können, welche Möglichkeiten angemessen sind.

Konkret wird etwa Rüdiger Trost, Fachmann beim IT-Sicherheitsdienstleister F-Secure in der Wirtschaftswoche: „Man muss sich schon wundern, warum Microsoft bei einem solchen Super-Gau erst nach zwei Monaten reagiert hat“, sagt etwa Rüdiger Trost, Fachmann beim IT-Sicherheitsdienstleister F-Secure, in der WiWo.

Wenig bekannt über das eigentliche Problem

Michael Blesch, CSO von Winworx IT-Solutions, verwies im Gespräch mit der ZfK auf ein weiteres Problem: „Was das Problem eigentlich ist und wie es dazu überhaupt gekommen ist, ist sehr wenig bis gar nicht erklärt. Administratoren können nur weiterhin blind auf Microsoft vertrauen, dass diese Lücke mit dem Update geschlossen wird.“

Es sei auch nicht das erste Mal, dass die Administratoren die „schlechte Programmierung“ von Microsoft ausbaden müssten: Anfang 2019 gab es Probleme mit Microsoft Exchange Memory Corruption (CVE-2019-0586), im Februar 2020 wiederum mussten die Admins wegen der Exchange Validation Key Remote Code Execution (CVE-2020-0688) im blinden Vertrauen Updates installieren. Zwischen den beiden Zeiträumen gab es weitere Sicherheitslücken.

Fachmann Blesch hat inzwischen Konsequenzen gezogen: Sein Unternehmen wird künftig die Web-Schnittstelle nicht mehr öffentlich haben und nur noch authentifiziert oder über VPN betreiben, weil es „russisches Roulette" sei, auf Microsoft-Software und Politik zu vertrauen. Dadurch, dass die Schwachstelle zudem für so lange Zeit nicht kommuniziert wurde, sei davon auszugehen, dass 3 von 4 aller Exchange Server ein Problem haben. (sg)