Der Hafnium-Hacker-Gruppe ist es gelungen, weltweit Hundertausende an Exchange-Installationen über Schwachstellen zu kompromittieren. Ein Patch zum Schließen der Schwachstellen steht zwar bereit, aber es kann zu spät sein. Inzwischen gibt es aber von Microsoft und Dritten Tools, um Exchange-Instanzen auf Anzeichen des Hacks zu überprüfen.

Hundertausende Exchange-Server infiltriert

Es scheint, dass nach der SolarWinds-Attacke durch mutmaßlich staatsnahe russische Angreifer der nächste Sicherheits-GAU gerade offenbart wurde. Hacker der mutmaßlich staatsnahen chinesischen Hackergruppe Hafnium haben monatelang Schwachstellen in On-Premise Exchange Servern zum Eindringen benutzt. Die Schwachstelle wurde erst am 2. März 2021 durch Sicherheitsupdates geschlossen. Ich hatte in diversen Blog-Beiträgen darüber berichtet (siehe Artikelende). Und im Volexity-Blog (deren Sicherheitsforscher haben den Angriff und die Schwachstellen entdeckt) findet sich dieser Beitrag zum Thema.

Ziel der Angreifer war es, Kontrolle über die E-Mails der Opfer zu bekommen und möglicherweise über die Active Directory-Berechtigungen auf deren Netzwerk-Infrastruktur zuzugreifen und sich dort einzunisten. Vor wenigen Tagen ging ich noch davon aus, dass nur einige wenige US-Institutionen und Firmen gezielt angegriffen wurden.

Inzwischen steht fest, dass Massen-Scans im Internet erfolgten und die Hafnium-Gruppe wohl aggressiv versuchte, angreifbare Exchange-Instanzen zu infiltrieren. Im Beitrag Wichtige Hinweise Microsofts und des BSI zum Exchange-Server Sicherheitsupdate (März 2021) hatte ich die Warnung des BSI transportiert, die von Tausenden deutscher Exchange-Installationen, die gehackt wurden, ausgeht. Das BSI hat angefangen, identifizierte Betroffene per Post zu informieren.

Sicherheitsanbieter Rapid7 geht in diesem Artikel von 170.000 gefährdeten Exchange-Servern aus, wobei es in den USA und in Deutschland wohl „Hot-Spots“ mit mehr als 10.000 Instanzen gibt. Im Beitrag sind auch IP-Adressen angegeben, die das Internet scannen – und es findet sich eine Analyse, wie man eine Infektion erkennen könnte. Weitere Informationen und Analysen liefert dieser Microsoft-Artikel, sowie diese US-CERT-Warnung.

Das Ganze ist ein GAU, dürfte es doch viele kleine Unternehmen getroffen haben, wo ein Exchange-Server herumdümpelt (siehe auch diesen Wired-Beitrag). Sicherheitsforscher des entdeckenden Sicherheitsanbieters Volexity betrachten das Ganze als tickende Zeitbombe. Und jetzt noch patchen hilft nicht, wenn die Hafnium-Gruppe bereits eine Webshell als Backdoor installiert hat.

Scan-Tools von Microsoft & Co.

Microsoft hat ein bereits seit längerem bestehendes, als Test-Hafnium bekanntes, PowerShell-Script mit dem Namen  Test-ProxyLogon.ps1 so erweitert, dass es die jetzt genutzten Schwachstellen erkennt. Das Script sowie zusätzliche Hinweise finden sich auf GitHub.

Bleeping Computer weist in obigem Tweet auf das PowerShell-Script Test-ProxyLogon.ps1 hin – in diesem Artikel finden sich noch einige Hinweise zum Thema. Microsoft Sicherheitsforscher Kevin Beaumont weist in folgendem Tweet auf ein offizielles Microsoft nmap-Skript hin, das unabhängig von der CU/SU-Situation identifiziert, ob Systeme für die Exchange-Schwachstellen anfällig sind. Keine Authentifizierung erforderlich.