Es ist eine der spannendsten der zahlreichen offenen Fragen rund um den aktuellen Massenhack von Exchange-Servern: Warum wurde die Lücke, noch bevor sie öffentlich bekannt war, bereits von sechs Hackergruppen ausgenutzt? Immerhin ist so ein Vorgang äußerst ungewöhnlich. Üblicherweise behalten Angreifer solche "Zero-Day-Lücken" für sich, damit sie ihre Aktivität in aller Ruhe weiter entfalten können.

Spurensuche

Erklärungsversuche dafür gab es schon in den vergangenen Tagen einige. So ist auffällig, dass viele der in diesem Fall aktiven Hackergruppen dem chinesischen Staat zugeordnet werden. Möglich – wenn auch sehr ungewöhnlich – wäre also, dass hier die Informationen an mehrere Gruppen verteilt wurden. Microsoft selbst bringt nun aber eine andere Möglichkeit ins Spiel, und diese nährt einen ziemlich bösen Verdacht.

Derzeit untersucht Microsoft, ob es eine Vorabinformation an Partnerfirmen war, die erst andere Hackergruppen auf die hochgefährlichen Lücken aufmerksam gemacht hat. Auf diese Idee scheint man zunächst durch den zeitlichen Ablauf gekommen zu sein. Aktuelle Rekonstruktionen der Ereignisse gehen nämlich davon aus, dass die Attacken zunächst auf eine Gruppe beschränkt waren – eine zuvor unbekannte, aber dem chinesischen Staat zugeordnete Truppe, die Microsoft als "Hafnium" bezeichnet. Erst Ende Februar tauchten dann fünf weiter Hackergruppen auf, mit dem bekannten Ergebnis: In den vergangenen Wochen wurden weltweit hunderttausende Exchange-Server übernommen und mit Hintertüren versehen.

Ähnlichkeiten beim Code

Eine Untersuchung von Microsoft scheint nun konkrete Belege für diese Theorie gefunden zu haben: Einige der bei der zweiten Angriffswelle genutzten Tools sollen eine gewisse Ähnlichkeit mit "Proof of Concept"-Code haben, den Microsoft am 23. Februar mit Sicherheitsfirmen und Antivirenherstellern geteilt hat. Dies berichtet das "Wall Street Journal". Der Verdacht ist also, dass die Informationen über eine dieser Firmen durchgesickert sind – ob bewusst oder weil das jeweilige Unternehmen selbst gerade Spione im internen Netzwerk hat, wäre dann noch einmal eine gesondert zu klärende Frage.

Im Rahmen des Microsoft Active Protections Program (Mapp) gibt der Softwarehersteller regelmäßig Vorabinformationen über neue Sicherheitslücken an ausgewählte Partner weiter. 2008 eingeführt, sollen derzeit rund 80 Firmen daran beteiligt sein – darunter auch zehn aus China. Allerdings sollen im aktuellen Fall nicht alle, sondern nur ausgewählte Unternehmen informiert worden sein. Um welche es sich dabei handelt, verrät Microsoft derzeit nicht.

Vorgeschichte

Es wäre auch nicht das erste Mal, dass solcher von Microsoft selbst entwickelte Code über Mapp an Angreifer gelangt. So wurde im Jahr 2021 die Firma Hangzhou DPTech Technologies aus dem Programm geworfen, nachdem diese den für Testzwecke entwickelten Schadcode weitergegeben hatte. Dieser tauchte dann auf einer chinesischen Webseite auf, wurde also für Angriffe gegen die Nutzer eingesetzt.

Warnungen zuhauf

Unterdessen bleibt der Ratschlag: Wer die eigenen Exchange-Server noch nicht aktualisiert hat, sollte dies dringend tun. Mittlerweile gibt es nämlich auch schon Ransomware-Angriffe, in deren Rahmen die entsprechenden Systeme für erpresserische Zwecke übernommen werden. Generell ist es damit aber nicht getan, muss doch anschließend noch auf die Installation von Hintertüren geprüft werden. In einigen Fällen mag es da einfacher sein, das Mailsystem gleich ganz neu aufzusetzen. (apo, 15.3.2021)