Der Tag, an dem die Katastrophe ihren Lauf nahm, … so oder so ähnlich wird der 2. März 2021 in die Geschichtsbücher der IT und noch vieler Unternehmen eingehen.
Ein Vorfall noch nie dagewesenen Ausmaßes wurde an diesem Tag der Öffentlichkeit bekannt, durch die Veröffentlichung einer Sicherheitswarnung und eines Patches für vier bis dahin weitgehend unbekannte Sicherheitslücken für den Microsoft Exchange Server.
In den Tagen vor und nach der Veröffentlichung gab es eine beispielslose Angriffswelle auf hunderttausende, öffentlich exponierter Exchange Server mit einem Exploit, das genau diese vier Schwachstellen ausnutzte, alleine in Deutschland sind zehntausende Systeme betroffen. Die Angreifer, wahrscheinlich eine chinesische, staatsnahe Gruppe, die als Hafnium bezeichnet wird, wollten die massiven Sicherheitslücken noch weitestgehend ausnutzen, bevor die sog. Zero-Day-Exploits (unbekannte Sicherheitslücken) durch die Veröffentlichung von Microsoft verbrannt werden.
Die möglichen Schäden durch die Exploits sind enorm, die Angreifer können
- auf die Inhalte aller Mailboxen des infizierten Exchange Servers zugreifen
- Dateien ins Dateisystem des Exchange Server schreiben, sowie die Konfiguration des Servers manipulieren und damit den infizierten Server als Sprungbrett für weitere Angriffe im internen Netzwerk nutzen
Viele Unternehmen haben schnell reagiert und ihre Exchange Server gepatcht und die Exploits entfernt. Ist damit der Fall erledigt? Leider nein, je nachdem wie weit die Angreifer das Potenzial dieser Exploits ausgenutzt haben, können sich sog. Backdoors oder ähnliche Schadsoftware auf weiteren Systemen in ihrem Netzwerk befinden und auf eine spätere Aktivierung warten. Beispiele, bei denen die eigentlichen Angriffe erst Wochen und Monate nach dem initialen Zugriff auf das Netzwerk erfolgt sind, gibt es genug.
Im Rahmen unseres Cyber Resilience Programms bieten wir daher folgende Leistungen zu den Microsoft Exchange Server Exploits an:
- Forensische Analyse durch unser Incident Response Team, ob ihre Exchange Server noch von den Exploits betroffen sind und in welchen Umfang eine Kompromittierung stattgefunden hat, wie z.B. Datendiebstahl oder weitere Ausbreitung in ihrem Netzwerk.
- Echtzeit- Überwachung ihrer Exchange Server und anderer potenziell infizierter Systeme für mind. 30 Tage oder länger, durch die Installation eines passiven XDR (Extended Detection & Response) Agenten und 24×7 Überwachung durch unser Security Operations Center.
- Unterstützung bei der Behebung und Bereinigung ihrer Systeme, je nach Art der Findings.
- Lessons-learned-Bewertung: Für die meisten betroffenen Unternehmen hätte sich der Angriff vermeiden lassen, durch entsprechende organisatorische und technische Maßnahmen. Wir haben den Durchbruch von mehrstufigen Verteidigungsketten in diesem Fall beobachtet und die Betroffenen sollten sich dringend die Frage stellen, warum das passieren konnte und wie man es in Zukunft vermeiden kann.
Sprechen Sie uns an, wir stehen Ihnen gerne, auch kurzfristig, zur Verfügung.