Die Worte, die Sicherheitsexperten angesichts aktueller Lücken bei Microsofts Exchange-Server finden, lassen an Schärfe wenig vermissen. "Es scheint (...) aufgrund der aktuell grassierenden Exploits grundsätzlich gerechtfertigt zu sein, sämtliche Exchange-Server, die aus dem öffentlichen Internet erreichbar sind, als kompromittiert zu betrachten", formuliert es das Computer Emergency Response Team Austria (Cert.at). Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) befürchtet ebenfalls, dass zehntausende Server mit Schadsoftware infiziert sein könnten, und vergibt die äußerst seltene Bedrohungsstufe 4 – für "extrem kritisch".

Üble Zahlen

Der Grund für die Aufregung: Offenbar ist es Angreifern gelungen, zuvor unbekannte Sicherheitslücken im Exchange-Server von Microsoft auszunutzen, um Unternehmensnetzwerke zu unterwandern. Und zwar im großen Stil: Schon am Freitag ging der Sicherheitsforscher Brian Krebs davon aus, dass alleine in den USA mehr als 100.000 Organisationen potenziell von dem Problem betroffen sind. Erschreckend hoch ist aber vor allem der Anteil jener, bei denen diese Lücken auch wirklich aktiv ausgenutzt wurde. Sicherheitsexperten schätzen deren Zahl alleine in den USA auf 30.000. Damit wäre die Angriffswelle wohl eine der erfolgreichsten Spionageattacken der vergangenen Jahre.

Und dass es sich dabei um Spionage handelt, daran ließ Microsoft schon in seinem ersten Statement keinen Zweifel. Hinter dem Angriff soll eine zuvor unbekannte Hackergruppe aus China stehen, der Microsoft den Namen "Hafnium" gegeben hat. Allerdings dürfte es in einschlägigen Kreisen zuletzt bereits kein sonderliches Geheimnis mehr gewesen sein, dass Exchange-Server ziemlich einfach von außen übernommen werden können. Jedenfalls legen weitere Analysen nahe, dass auch andere Angreifer die Lücken ausgenutzt haben, um in Firmennetzwerke einzudringen. Über die Kombinationen mehrerer Fehler war es dabei möglich, von außen Code auf Exchange-Servern zur Ausführung zu bringen. Darüber ließ sich etwa der Inhalt der Postfächer sämtlicher Nutzer stehlen. Zudem scheinen sich die Angreifer in vielen Fällen dauerhaft auf dem Server verankert haben, um jederzeit von außen über eine Webshell darauf zugreifen zu können.

Das Cert.at spricht für Österreich von insgesamt 7.500 potenziell gefährdeten Servern. Die auch im internationalen Vergleich recht hohe Zahl erklärt sich nicht zuletzt daraus, dass die Microsoft-Software hierzulande besonders weit verbreitet ist.

Rasche Reaktionen

In einem sind sich die Experten jedenfalls einig: Es besteht für alle Betreiber von Exchange-Servern dringender Handlungsbedarf. Und das heißt in diesem Fall zunächst natürlich das Einspielen der entsprechenden Updates, die Microsoft bereits am 2. März veröffentlicht hat. Dieser Schritt alleine reicht aber nicht aus, da eben zu befürchten ist, dass die Server bereits vorher kompromittiert wurden. Entsprechend hat Microsoft am Wochenende ein Skript veröffentlicht, mit dem Administratoren ihre Server nach typischen Merkmalen eines entsprechenden Angriffs durchsuchen können. Eine perfekte Lösung ist aber auch das nicht, etwa wenn Angreifer etwas geschickter oder gezielter vorgegangen sind.

Spitze des Eisbergs

Selbst wenn die zuständigen Administratoren jetzt rasch reagieren, dürfte der Vorfall die IT-Welt noch länger beschäftigen. Immerhin stehen die Aufräumarbeiten in vielen Fällen erst an ihrem Anfang. So muss sich erst zeigen, bei welchen Organisationen und Unternehmen die interne Kommunikation kopiert wurde – und ob diese nun geleakt wird. So gab am Montag die Europäische Bankenaufsicht bekannt, dass man zu den Opfern zählt. Die Mailserver der Behörde sind dementsprechend aktuell offline, der Schaden ist potenziell aber bereits angerichtet.

Zudem ist zu befürchten, dass gerade kleinere und mittlere Unternehmen, bei denen Exchange weit verbreitet ist, nicht die IT-Ressourcen haben, um eine umfassende Analyse der Systeme durchzuführen. Eine solche wäre aber notwendig, um sicherzustellen, dass sich die Angreifer nicht doch noch irgendwo im System verankert haben. Immerhin könnte der Einbruch in einen Exchange-Server auch als Ausgangspunkt für weitere Angriffe auf die Infrastruktur genutzt werden. Ein Level an Vertrauensbruch, bei dem Experten zumeist dazu raten, die Server gleich komplett neu aufzusetzen – doch auch das dürfte für IT-Abteilungen mit begrenzten Ressourcen nur begrenzt realistisch sein. (Andreas Proschofsky, 8.3.2021)