Es soll die chinesische Hackergruppe "Hafnium" gewesen sein, die eine Sicherheitslücke im E-Mail-Dienst Exchange des Softwarekonzerns Microsoft für den Angriff auf mindestens 30.000 US-Organisationen nutzte. Mittels Update wurden die Schwachstellen inzwischen geschlossen. Administratoren bietet Microsoft nun zudem die Möglichkeit, mittels eines Power-Shell-Skripts zu überprüfen, ob ein Exchange-Server bereits einem erfolgreichen Angriff zum Opfer fiel.

Zu finden ist es auf dem unternehmenseigenen Github-Account, der vom Exchange-Support betrieben wird. Mit dem Skript sollen Server auf Spuren untersucht werden, die ein erfolgreicher Angriff hinterlässt, berichtet "Bleeping Computer". Denn der sogenannte "Proxy Logon" weise bestimmte Merkmale auf, die mittels des Microsoft-Skripts zusammengefasst würden und eine Überprüfung des Exchange-Servers deutlich vereinfachen solle. Dabei würden Exchange-Logs, Exchange-Http-Proxy-Logs und Windows-Application-Event-Logs überprüft, schreibt "Heise".

Lücken schließen und Server überprüfen

Administratoren sind zudem angehalten, die Sicherheitslücken mittels der bereitgestellten Updates zu schließen, eine Überprüfung solle im Anschluss folgen. Nachdem Microsoft notwendigen Sicherheitsupdates am Dienstag veröffentlichte, sei die Zahl der Angriffe jedoch "dramatisch gestiegen", schrieb der Cybersicherheitsexperte Brian Krebs unter Berufung auf anonyme Quellen. Der STANDARD berichtete.

Verantwortlich soll für den Angriff eine Gruppe namens "Hafnium" sein, die laut Microsoft ein "sehr versierter und hochentwickelter Akteur" sei. In der Vergangenheit hätten es die Hacker laut des US-Konzerns vor allem auf Organisationen und Einrichtungen in den USA abgesehen. Betroffen waren demnach "Forschungseinrichtungen für Infektionskrankheiten, Anwaltskanzleien, Hochschulen, Verteidigungsunternehmen, politische Denkfabriken und Nichtregierungsorganisationen". Die Gruppe habe ihren Sitz in China, agiere aber hauptsächlich über gemietete virtuelle private Server in den USA. (red, 7.3.2021)