Analyse zum Microsoft Exchange Server Hack

Bereits vor mehr als vier Wochen hat Microsoft erstmals eine Datenpanne auf lokal eingesetzten Microsoft Exchange Servern bestätigt. Angreifer waren in der Lage, Administratorenrechte auf den betroffenen Servern zu erlangen und damit Zugang zu Benutzer-E-Mails und Passwörtern sowie zu den angeschlossenen Geräten im selben Netzwerk zu haben. In diesem Zusammenhang wurden auch eine Reihe anderer Enthüllungen publik.

Hintergründe zum Microsoft Exchange Server-Hack

Am 5. Januar 2021 meldete ein Mitarbeiter des Sicherheitstestunternehmens DEVCORE die erste bekannte Schwachstelle an Microsoft. Dies wurde dann von Microsoft am 8. Januar bestätigt. Im selben Monat wurden mehrere Einbrüche in lokale Microsoft Exchange Server von unterschiedlichen Betroffenen entdeckt, die alle Microsoft alarmierten.

Um den 26. und 27. Februar herum begannen Angreifer damit, Microsoft Exchange Server massenhaft zu scannen, um eine Backdoor zu finden. Dies geschah offenbar vor allem in Erwartung eines Patches von Microsoft.

Am 2. März veröffentlichte Microsoft Updates zum Patchen von vier Zero-Day-Schwachstellen in der Code-Basis von Microsoft Exchange Server und schrieb diese mit hoher Wahrscheinlichkeit einer bekannten Hackergruppe zu. Später wurden weitere Hackergruppen in Verbindung gebracht.

Am 5. März verbreitete ein bekannter Cybersecurity-Journalist die Nachricht, dass mindestens 30.000 Organisationen in den USA und Tausende weltweit Backdoors installiert haben. Sicherheitsexperten bemühten sich, die Opfer zu benachrichtigen, und betonten gleichzeitig, dass sie sich auf eine weitere Angriffsserie aufgrund bereits installierter Backdoors auf betroffenen Servern vorbereiten.

Microsoft Exchange Server Hack: Aktueller Stand der Dinge

Am 12. März 2021 twitterte Microsoft, dass immer noch 82.000 ungepatchte Microsoft Exchange-Server gefährdet sind. Da rechtzeitig kein Update durchgeführt worden war, wurden viele dieser Server weiterhin angegriffen. Außerdem kam es bereits zum Einsatz unterschiedlicher Ransomware von Angreifern auf bereits infizierten Servern.

Am 22. März kündigte Microsoft an, dass bei 92% der lokal eingesetzten Microsoft Exchange Server die Schwachstelle entweder gepatcht oder zumindest entschärft worden sei.

Am 12. April hat die CISA zwei neue Malware Analysis Reports (MARs) zum Alert AA21-062A: Mitigate Microsoft Exchange Server Vulnerabilities hinzugefügt. Microsoft entschärfte weitere damit verbundenen Probleme im Sicherheitsupdate vom April 2021.

Da die Angreifer vier verschiedene Zero-Day-Exploits nutzten und diese miteinander verketteten, um Administratorenzugriff auf den betroffenen Servern zu erlangen, waren sie in der Lage, Backdoors zu installieren. Es ist daher für jeden Administrator eines On-Premise Microsoft Exchange Servers sehr wichtig, nicht nur Patches zu installieren, sondern auch alle identifizierten Exploits oder Schwachstellen zu beheben (unter Verwendung bekannter Richtlinien von Microsoft und anderen unabhängigen IoCs).

Mailfence war zu keiner Zeit betroffen

Mailfence bietet ActiveSync-Protokoll- Connectivity. Unsere Exchange ActiveSync (EAS)-Implementierung verwendet Microsoft-Spezifikationen, ist aber ein Synchronisationsprotokoll, das nichts mit Exchange-Servern zu tun hat. Sie teilen sich nur zufällig das Wort ‚Exchange‘. Wir teilen keinen Code mit dem angebotenen On-Premise Microsoft Exchange Server (oder einem seiner Dienste). Daher war unser Dienst zu keener Zeit betroffen.

Wir haben dies auch über unseren Twitter Account veröffentlicht:

Bevorzugen Sie Dienste, die vertraulich „by Design“ sind und Verschlüsselung bevorzugen

Mailfence ist ein sicherer und vertraulicher E-Mail-Service, der die Privatsphäre der Benutzerdaten respektiert und eine Ende-zu-Ende-Verschlüsselung für E-Mails bietet. Die Ende-zu-Ende-verschlüsselte Daten bleiben auch bei einem kompromittierten Server geschützt. Wir planen, diese Art der Verschlüsselung auch auf gesendete/empfangene Klartextnachrichten und das Dokumententool auszuweiten. Wir planen außerdem, im Laufe dieses Jahres die Daten „at rest“ zu verschlüsseln, was den Datenschutz für die Benutzer auf ein noch höheres Niveau heben wird.. Seien Sie gespannt!

Ihr sicheres E-Mail-Konto – jetzt

Folgen Sie uns auf Twitter/reddit und bleiben Sie so jederzeit auf dem Laufenden

Avatar for Werner Grohmann

Werner Grohmann

Werner Grohmann ist Online-Redakteur und Content Marketingberater für deutsche und internationale IT-Unternehmen. Er ist für die deutsche Version des Mailfence Blogs verantwortlich.

Das könnte dich auch interessieren …