Aktuelles, Branche - geschrieben von dp am Freitag, März 12, 2021 22:28 - noch keine Kommentare
Microsoft Exchange Server: Zeitleiste der Cyber-Vorfalls rekonstruiert
Zehntausende anfälliger Exchange-Server innerhalb von drei Tagen gepatcht
[datensicherheit.de, 12.03.2021] „Die Anzahl der nicht-gepatchten ,Exchange‘-Server ging diese Woche stark zurück, als Microsoft-Kunden laut neuen Daten, die von der ,Palo Alto Networks Expanse-Plattform‘ gesammelt wurden, schnell Sicherheitsupdates installierten.“ Das schnelle Patchen folge Warnungen, dass Hacker vier „Zero-Day“-Schwachstellen in der weit verbreiteten E-Mail-Software ausnutzten. Matt Kraning, „Chief Technology Officer“ von Cortex bei Palo Alto Networks geht in seiner aktuellen Stellungnahme auf den Anfang März 2021 bekanntgewordenen Vorfall ein. Die Anzahl der anfälligen Server, auf denen alte Versionen von „Exchange“ ausgeführt werden, auf denen die kürzlich veröffentlichten Sicherheitspatches nicht direkt angewendet werden könnten, sei laut „Expanse-Internet“-Scans vom 8. und 11. März 2021 um über 30 Prozent von geschätzten 125.000 auf 80.000 gesunken.
Unternehmen, die Exchange ausführen, sollten davon auszugehen, kompromittiert zu sein
„Ich habe noch nie gesehen, dass die Sicherheitspatch-Raten für ein System so hoch sind, geschweige denn für ein System, das so weit verbreitet ist wie ,Microsoft Exchange‘“, berichtet Kraning und führt aus: „Wir fordern Unternehmen, die alle Versionen von ,Exchange‘ ausführen, dringend auf, davon auszugehen, dass sie kompromittiert wurden, bevor sie ihre Systeme gepatcht haben, da wir wissen, dass Angreifer diese ,Zero-Day‘-Sicherheitslücken mindestens zwei Monate lang in freier Wildbahn ausnutzten, bevor Microsoft die Patches am 2. März veröffentlichte.“
Palo Alto Networks habe demnach die „Expanse“-Plattform verwendet, um im Internet exponierte Server zu identifizieren, auf denen alte Versionen von „Exchange“ ausgeführt werden, auf denen der kürzlich veröffentlichte Sicherheitspatch für die „Zero-Day“-Sicherheitslücken nicht direkt angewendet werden könne.
Die 12 Länder mit der größten Anzahl anfälliger Exchange-Server:
Hier sind laut Kraning die zwölf Länder mit der größten Anzahl bestätigter anfälliger „Exchange“-Server ab dem 11. März 2021:
- USA – 20.000
- Deutschland – 11.000
- Großbritannien – 4.900
- Frankreich – 4.000
- Italien – 3.700
- Russland – 2.900
- Kanada – 2.700
- Schweiz – 2.500
- Australien – 2.200
- China – 2.100
- Österreich – 1.700
- Niederlande – 1.600
Außerdem habe Palo Alto Networks den zeitlichen Ablauf der aktuell heiß diskutierten IT-Attacke rekonstruiert.
Palo Alto Networks rekonstruierte Zeitleiste der Cyber-Angriffe auf Microsoft Exchange Server…
Die „Unit 42“, das Bedrohungsforschungsteam von Palo Alto Networks, habe neue Erkenntnisse zu den jüngsten Cyber-Angriffen auf „Microsoft Exchange Server“ gewonnen. „Ein Blick zurück: Am 2. März wurden Sicherheitsexperten auf vier kritische ,Zero-Day‘-Schwachstellen in ,Microsoft Exchange Server‘ aufmerksam (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 und CVE-2021-27065).“
Gleichzeitig mit dem Bekanntwerden dieser Schwachstellen habe Microsoft Sicherheitsupdates und technische Anleitungen veröffentlicht, welche die Wichtigkeit des sofortigen Patchens betont hätten, und habe auf die aktive und laufende Ausnutzung durch eine „Advanced Persistent Threat“ (APT) namens „HAFNIUM“ hingewiesen. Seit den ersten Angriffen hätten die „Unit 42“ und eine Reihe anderer Threat-Intelligence-Teams festgestellt, dass mehrere Bedrohungsgruppen diese „Zero-Day“-Schwachstellen nun in freier Wildbahn ausnutzten.
Angreifer versuchen weiter, anfällige Exchange-Systeme vor dem Patchen zu kompromittieren
Sowohl die Schwachstellen selbst als auch der Zugriff, welcher durch deren Ausnutzung erreicht werden könne, seien erheblich. Es sei daher nicht überraschend, dass mehrere Angreifer versucht hätten und weiterhin versuchten, anfällige Systeme zu kompromittieren, bevor diese von Netzwerkadministratoren gepatcht werden. „Diese Angriffe geschahen in einem noch nie dagewesenen Ausmaß.“
Anhand der rekonstruierten Zeitachse sei nun klar, dass zwischen der ersten bekannten Ausnutzung dieser Schwachstelle am 3. Januar 2021 und der Veröffentlichung des Patches durch Microsoft am 2. März 2021 mindestens 58 Tage gelegen hätten. „Das Aufspielen des Patches ist ein notwendiger erster Schritt, aber nicht ausreichend, wenn man bedenkt, wie lange die Schwachstelle in der freien Wildbahn war.“ Das Aufspielen des Patches beseitige nicht den Zugang, den Angreifer möglicherweise bereits zu anfälligen Systemen erlangt haben. Unternehmen könnten sich im Leitfaden der „Unit 42“ für Abhilfemaßnahmen über die nötigen Schritte informieren, um sicherzustellen, dass sie ihre „Exchange Server“ ordnungsgemäß abgesichert haben.
Unit 42 bitte andere Forschungsteams, ihre Erkenntnisse zum Vorfall mit Exchange Server mitzuteilen
In der zweiten Woche nach Bekanntwerden der Schwachstellen gebe es erste Schätzungen, dass die Zahl der betroffenen Unternehmen in die Zehntausende gehe. Dies stelle damit die Auswirkungen des jüngsten „SolarStorm“-Angriffs auf die Lieferkette in Bezug auf die Zahl der Opfer und die geschätzten Kosten für die Beseitigung der Schwachstellen weltweit in den Schatten. Angesichts der Bedeutung dieses Ereignisses habe die „Unit 42“ eine Zeitleiste des Angriffs veröffentlicht, welche auf den umfangreichen Recherchen zu den derzeit verfügbaren Informationen und der direkten Erfahrung bei der Abwehr solcher Angriffe basiere. „Während sich die Situation weiterentwickelt, bittet ,Unit 42‘ auch andere Forschungsteams, ihre Erkenntnisse mitzuteilen, damit sich die Cyber-Sicherheitscommunity so schnell wie möglich ein vollständiges Bild machen kann.“
Nicht nur bei Exchange: Hochqualifizierte Angreifer nutzen neue Schwachstellen aus
Laufende Untersuchungen zeigten, dass diese Schwachstellen von mehreren Bedrohungsgruppen ausgenutzt würden. „Es ist nicht neu, dass hochqualifizierte Angreifer neue Schwachstellen in verschiedenen Produkt-Ökosystemen ausnutzen. Die Art und Weise, wie diese Angriffe durchgeführt werden, um die Authentifizierung zu umgehen und damit unberechtigten Zugriff auf E-Mails zu erhalten und ,Remote Code Execution‘ (RCE) zu ermöglichen, ist jedoch besonders perfide.“
Die „Unit 42“ geht davon aus, „dass die Angriffe, die diese Schwachstellen ausnutzen, sich nicht nur fortsetzen, sondern auch an Umfang zunehmen werden“. Dies werde sich wahrscheinlich auch in vielfältigeren Angriffen mit unterschiedlichen Motiven äußern, wie etwa die Infektion und/oder Verteilung von Ransomware. Aufgrund der Tatsache, dass aktive Angriffe verschiedener Bedrohungsgruppen, welche diese Schwachstellen ausnutzten, andauerten, sei es zwingend erforderlich, die betroffenen Systeme nicht nur zu patchen, sondern auch die Anleitungen zu befolgen, welche die „Unit 42“ in einem früheren „Remediation Blog“ beschrieben habe.
Weitere Informationen zum Thema:
datensicherheit.de, 11.03.2021
Microsoft Exchange: Vermehrt Datenpannen-Meldungen in Rheinland-Pfalz / Dutzend Nachfragen sowie Meldungen von Verletzungen des Schutzes personenbezogener Daten
datensicherheit.de, 08.03.2021
Erfolgreicher Angriff: Mehr als zehntausend lokale Microsoft Exchange Server betroffen
datensicherheit.de, 03.03.2021
Microsoft Exchange: Zero-Day-Lücken ermöglichen Industriespionage
paloalto NETWORKS, Unit 42, 11.03.2021
Microsoft Exchange Server Attack Timeline
paloalto NETWORKS, Unit 42, 09.03.2021
Remediation Steps for the Microsoft Exchange Server Vulnerabilities
Microsoft Security Response Center, 05.03.2021
Microsoft Exchange Server Vulnerabilities Mitigations – updated March 9,
Microsoft, 02.03.2021
New nation-state cyberattacks
Aktuelles, Experten - Nov 21, 2024 20:50 - noch keine Kommentare
ePA für alle: Daten für die Forschung und das Risiko trägt der Patient
weitere Beiträge in Experten
- CRA endgültig in Kraft getreten: Digitale Produkte in der EU kommen auf den Prüfstand
- Datenleck bei Öko-Stromanbieter: 50.000 Datensätze deutscher Tibber-Kunden im Darknet
- HmbBfDI unternahm branchenweite Schwerpunktprüfung im Forderungsmanagement
- Repräsentative Studie von Civey und QBE: Über 24 Prozent deutscher Unternehmen kürzlich von Cyber-Attacke betroffen
- Datenschutz-Sandbox: Forschungsprojekt soll sicherer Technologieentwicklung Raum geben
Aktuelles, Branche - Nov 21, 2024 20:58 - noch keine Kommentare
Gelsemium-Hacker: ESET warnt vor neuen Linux-Backdoors
weitere Beiträge in Branche
- Laut 2025 Identity Fraud Report alle fünf Minuten ein Deepfake-Angriff
- Unternehmen sollten NIS-2 ernst nehmen und schnell konforme Lösungen etablieren
- Betrug im Digital-Zeitalter: Moderne IT definiert -Bedrohungen und -Schutzmaßnahmen neu
- TOPqw Webportal: G DATA deckte fünf Sicherheitslücken auf
- Proofpoint gibt Tipps gegen Online-Betrug – Hochsaison der Online-Einkäufe startet
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren