Interview zu Hafnium-Angriffe auf Exchange Server

Interview zu Hafnium-Angriffe auf Exchange Server

Wednesday, March 10

Microsoft hat zu Beginn des Monats auf eine Kampagne hingewiesen, die das Produkt Exchange zum Ziel haben. Dieser Angriff wird der Gruppe Hafnium zugeordnet, die einen chinesischen Hintergrund zu haben scheint. Der Journalist Tobias Bolzern hat für 20 Minuten ein Interview mit Marc Ruef gehalten. In diesem geht er auf die technischen Hintergründe und geopolitischen Zusammenhänge der jüngsten Ereignisse ein.

Um was für eine Attacke handelt es sich hier genau?

Bei Hafnium handelt es sich um eine Gruppierung, die durch Microsoft entdeckt wurde. Im Rahmen der jüngsten Kampagne wurden vier Schwachstellen (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065) in Microsoft Exchange ausgenutzt. Exchange ist ein beliebtes Produkt für Mail und Collaboration in Unternehmen.

Wer steckt dahinter?

Microsoft weist in ihrer Bekanntmachung darauf hin, dass Hafnium einen chinesischen Hintergrund hat. Konkrete und prüfbare Beweise bleiben bis heute aber aus. Unsere Analyse lässt vermuten, dass hier Verbindungen bzw. Schnittmengen mit anderen APT-Gruppen aus Russland und dem Iran gegeben sind.

Wie steht es um die Lage in der Schweiz?

Die Angriffsmöglichkeiten betreffen auch Systeme in der Schweiz. Da Exchange bei grösseren Organisationen besonders beliebt ist, sehen sich natürlich auch diese unter Zugzwang.

Was für Unternehmen werden angegriffen?

Neuartige Angriffsmethoden werden durch staatliche Akteure in der Regel zuerst zielgerichtet eingesetzt. Dadurch soll die Entdeckbarkeit minimiert und damit die Langlebigkeit der Angriffsmöglichkeit gewährleistet werden.

Jetzt, nachdem die Schwachstellen und Angriffsversuche bekannt geworden sind, muss mit breitflächigen Attacken gerechnet werden, um noch möglichst schnell – solange noch nicht überall Gegenmassnahmen ergriffen wurden – profitieren zu können.

Sind auch Behörden betroffen?

Behörden sind sowohl für staatliche Akteure als auch für Cyberkriminelle von Interesse.

Was für Informationen könnten bei den Angriffen abfliessen?

In erster Linie wird eine Kompromittierung des Exchange-Servers stattfinden. Auf diesem werden in der Regel Email-Postfächer genutzt, Nachrichten verschickt, Kalendereinträge koordiniert und Kontaktdaten gepflegt.

Durch einen erfolgreichen Einbruch kann in einem weiteren Schritt ein sogenanntes “Lateral Movement” angestrebt werden: Bei diesem werden Kompromittierungen auf weiteren Systemen im eingedrungenen Netzwerk umgesetzt. Dies kann schlussendlich zu einer umfangreichen Unterwanderung der gesamten Organisation führen.

Wie ernst ist die Lage?

Die Angriffsmöglichkeiten sowie die Anzahl potentieller Ziele sind beachtlich. Dass eine Veröffentlichung der technischen Details zur Identifikation von erfolgreichen Angriffen sowie entsprechender Patches durch Microsoft vorangetrieben wurde, hat dem Angriff ein Ablaufdatum aufgezwungen. Das grösste Problem ist eine Angriffsmöglichkeit immer dann, wenn sie noch nicht bekannt ist.

Mit was ist dieser Vorfall vergleichbar?

Im Dezember 2019 wurde mit CVE-2019-19781 eine Schwachstelle in Citrix publiziert und behoben. Diese ist in Bezug auf Beschaffenheit und Auswirkungen vergleichbar. Auch da haben die Tagesmedien ausgiebig darüber berichtet.

Sind auch Privatpersonen betroffen?

Exchange-Server einzusetzen lohnen sich nur in Unternehmen und werden entsprechend selten von Privatpersonen betrieben.

Indirekt ist aber natürlich jeder Mitarbeiter von einer erfolgreichen Kompromittierung bei seinem Arbeitgeber betroffen. Wer Arbeit und Privates konsequent voneinander trennt, kann seinen Schaden minimieren.

Wie können sich Firmen schützen?

Microsoft hat zusammen mit der Bekanntmachung die entsprechenden Patches herausgegeben. Diese müssen durch die betroffenen Organisationen eingespielt werden. Dadurch werden die genutzten Schwachstellen, sowie einige zusätzlich bekannt gewordene, geschlossen und können nicht mehr ausgenutzt werden.

Wie können betroffene Personen reagieren?

Im Beitrag von Microsoft finden sich technische Details, wie erfolgreiche Kompromittierungen als solche erkannt und eine Säuberung der betroffenen Systeme angegangen werden kann. Die Einfachheit dessen zeigt zeitgleich, dass Hafnium den Angriff nicht bis ins letzte Detail optimiert hat.

Insgesamt muss man das Thema Cybersecurity ernst nehmen und auch mit zukünftigen Übergriffen rechnen. Entsprechende Schutzmassnahmen sind deshalb einzurichten (Firewalling, Patching, Vulnerability Management, etc.).

Marc Ruef

Links

Tags

You want to test the security of your firewall?

Our experts will get in contact with you!