Exploits für dich, Exploits für mich, Exploits für jeden!

Foto: Dado Ruvic / REUTERS

Als Microsoft in der Vorwoche Updates für seinen Exchange-Server veröffentlichte, lag schnell die Vermutung nahe, dass hier etwas Größeres im Gange ist. Immerhin wurden die Patches außerhalb der Reihe veröffentlicht, also gegenüber dem gewohnten monatlichen Patch-Day vorgezogen. Was in den folgenden Tagen offenbar wurde, damit hatten aber wohl nur die wenigsten gerechnet. Die Kombination aus vier Sicherheitslücken erlaubt es Angreifern, Exchange-Server zu übernehmen, sich dort zu verankern und alle Mails auszulesen. Vor allem aber: Das taten sie zu dem Zeitpunkt auch bereits eifrig, gleich mehrere Hackergruppen sollen in den vergangenen Wochen zehntausende Exchange-Server übernommen haben.

Aufräumarbeiten

Seitdem sind weltweit Systemadministratoren mit den Aufräumarbeiten beschäftigt. Das beinhaltet nicht nur das Einspielen der entsprechenden Updates, sondern auch das Überprüfen, ob die eigenen Server schon übernommen wurden und, wenn ja, die Bereinigung von allfälligen Trojanern.

Exploit

Nun erhält der Ratschlag, die eigenen Exchange-Server auf den aktuellsten Stand zu bringen, noch einmal zusätzlichen Nachdruck. Wie die Sicherheitsforscher von Malware Tech berichten, kursiert mittlerweile öffentlich eine vollständige Exploit-Kette für die Lücken. Damit kann nun jeder diese Bausteine direkt in eigene Programme übernehmen. Angesichts früherer Erfahrungen ist davon auszugehen, dass damit nun die Cybercrime-Welle beginnt. Das bedeutet vor allem, dass die Lücken schon bald genutzt werden können, um Erpressersoftware auf ungeschützten Servern zu installieren.

Angesichts der ausführlichen Warnungen der vergangenen Tage sollte man eigentlich davon ausgehen, dass mittlerweile alle Betreiber mit einer Aktualisierung ihrer Systeme reagiert haben. Davon scheint die aktuelle Lage aber noch ein gutes Stück entfernt zu sein. So sprach das deutsche Bundesamt für Sicherheit in der Informationstechnik vor wenigen Tagen noch von zehntausenden weiterhin verwundbaren Servern – und zwar allein in Deutschland. (apo, 11.3.2021)