Schwachstelle im Produkt Microsoft Exchange: Eine digitale Pandemie bahnt sich an.

Am 2. März 2021 warnte Microsoft vor einer schwerwiegenden Schwachstelle im E-Mail-Serverprodukt (Exchange Server) von Microsoft. Offenbar wussten staatliche ausländische Hacker schon vorher von dieser Schwachstelle, griffen hundertausende von Servern an und installierten auf diesen sogenannte Hintertüren für spätere Erpressungsversuche. Auch in der Schweiz sind einige hundert Firmen betroffen.

Über die erwähnte Schwachstelle kann ein Angreifer den E-Mail-Server steuern und die E-Mail-Konten für Lösegeldforderungen verschlüsseln (siehe dazu auch HEISE). Hier die Chronik der Ereignisse:

• 5. Januar 2021: Microsoft erhält erste Hinweise über die Schwachstellen.
• 27. Januar 2021: Microsoft erhält Hinweise, dass Angreifer die Schwachstellen bereits ausnutzen.
• 27. Februar 2021: Die Angriffe nehmen massiv zu. Tausende von Servern sind betroffen, ohne dass die Betroffenen davon erfahren.
• 2. März 2021: Microsoft informiert die Öffentlichkeit und stellt eine Software zur Behebung der Lücke (Patch) bereit. Dieser Patch setzt aber voraus, dass die Server bereits vorgängig laufend aktualisiert wurden, was bei vielen Betreibern nicht der Fall ist.
• 9. März 2021: Microsoft stellt zusätzlich einen Patch für nicht aktualisierte Server zur Verfügung.

Die Angriffe auf nicht korrigierte Server laufen weiter. Die Angreifer installieren darauf eine Software, die es ihnen ermöglicht, jederzeit auf die betreffenden Server zuzugreifen, auch wenn diese später mit dem Patch von Microsoft korrigiert werden.

Falls ein Server nur angegriffen wurde, aber noch keine weiteren Schritte erfolgt sind, stoppt die Installation des Patchs den Angriff. Falls aber bereits eine Hintertür installiert wurde, bleibt dem Betreiber nichts anderes übrig, als den Server sofort vollständig neu zu installieren. Andernfalls besteht das grosse Risiko, dass der Betreiber mit der Verschlüsselung seiner Daten erpresst wird.

Notwendige Massnahmen

Falls Sie einen Exchange-Server betreiben, müssen Sie sofort die folgenden Schritte unternehmen:

1. Installieren Sie sofort den Patch von Microsoft.
2. Erstellen Sie eine Datensicherung des Servers und bewahren Sie diese ohne einen Anschluss an ein Datennetz auf (Offline Backup).
3. Suchen Sie nach Hinweisen, ob Ihr Server bereits angegriffen wurde. GovCert gibt dazu Tipps. Auch Microsoft bietet ein Werkzeug an.
4. Falls Sie Hinweise finden, sichern Sie alle Protokollierungsdateien (Logfiles), damit Sie später eruieren können, ob allenfalls Daten abgeflossen sind. Holen Sie sich spätestens jetzt professionelle Hilfe.
5. Installieren Sie den Exchange-Server neu.

Mit wenigen Massnahmen können Sie die Risiken von Schwachstellen reduzieren:

• Aktualisieren Sie Ihre Server laufend.
• Führen Sie eine Zwei-Faktoren-Authentifikation für Ihre Benutzer ein. Dies macht einen Datenabfluss fast unmöglich.

Zu guter Letzt

Das Beispiel zeigt, dass Hersteller bei proprietärer Software Schwachstellen gerne so lange wie möglich unter Verschluss halten. Im konkreten Fall waren es zwei Monate. Leider funktioniert dieses Versteckspiel nur dem Normalbürger gegenüber – Angreifer lassen sich dadurch nicht beeindrucken ...

Fragen, Anmerkungen, Korrekturen und Widerspruch sind erwünscht. Bitte verwenden Sie dazu entweder das E-Mail oder Twitter (siehe Fusszeile).