Die gute Nachricht ist, dass Microsoft bereits ein Exchange-Sicherheitsupdate zum Schutz vor Angriffen mittels Hafnium herausgegeben hat. Die schlechte Nachricht ist, dass allein in Deutschland 65.000 Server offen aus dem Internet erreichbar waren und am 10. März noch mehr als 25.000 Exchange-Server in Deutschland potentiell betroffen sind. Das BSI sagt, dass Unternehmen potentiell davon ausgehen sollen, dass man betroffen ist. Zudem haben die Exchange Server oftmals im Netzwerk Schreibzugriffe, auch wenn das eigentlich nicht notwendig ist. Das führt dazu, dass sich der Angriff im Netzwerk verbreiten kann. Der erste Schritt ist definitiv, dass Backups zu machen, dann die verfügbaren Microsoft Patches in jedem Fall unverzüglich einspielen, wenn das noch nicht geschehen sein sollte. Dennoch kann der Angriff im Netzwerk weiter fortgeführt werden, wenn Ihr Exchange Server betroffen war. Microsoft hat ein Test-Skript veröffentlicht, mit dem Sie testen können, ob Sie betroffen sind. Alternativ können Sie das auch mittels Sophos Intercept X Advanced with EDR prüfen (siehe unten). Wenn Ihr Exchange Server betroffen war, dann sollten Sie herausfinden, was der Angreifer gemacht hat. Eventuell besteht auch eine Meldepflicht nach DSGVO, das sollte ebenfalls geprüft werden, um den datenschutzrechtlichen Verpflichtungen nachzukommen. Mit Sophos Intercept X Advanced with EDR steht Ihnen ein perfekt geeignetes Tool zur Überprüfung Ihres Netzwerks zur Verfügung. Sollten Sie noch kein Kunde sein, dann können Sie die Lösung dennoch sofort nutzen, wenn Sie einen kostenfreien Test von Intercept X Advanced mit EDR starten. Das können Sie hier tun, diesen können Sie jederzeit weiterführen, indem Sie die Intercept X Lizenz kaufen und aktivieren. Jedoch ist auch Intercept X Advanced with EDR nur so gut, wie Sie es bedienen und nutzen. Alternativ können Sie auf die Profis von Sophos zurückgreifen und durch Sophos Central Intercept X Advanced mit EDR und MTR Advanced den vollen Schutz des Threat-Hunting Teams von Sophos erhalten. Wenn es wirklich brennt und Sie nicht mehr selbst die Sicherheit Ihrer Systeme garantieren können, können Ihnen im Notfall das Sophos Rapid Response Team helfen. Die schnelle Eingreiftruppe von Sophos kann Ihnen helfen, die Integrität Ihrer Exchange Server und Ihres gesamten Netzwerks wieder herzustellen.
Generell hat laut Microsoft Hafnium seinen Sitz in China, führt aber seine Operationen hauptsächlich von gemieteten virtuellen privaten Servern (VPS) in den Vereinigten Staaten aus. Dabei werden durch Hafnium eine Reihe von Angriffen mit bisher unbekannten Exploits durchgeführt, die auf lokale Exchange Server-Software abzielen. Betroffen sind on-premise Microsoft Exchange-Server der Versionen 2013, 2016 und 2019. Bislang ist Hafnium der Hauptakteur, durch welchen die Exploits verwendet werden.
Demnach umfassen die Angriffe auf den Exchange Server drei Schritte:
- Hafnium verschafft sich Zugang zum Exchange Server, entweder mit gestohlenen Passwörtern oder indem er zuvor unentdeckte Schwachstellen (Zero-Day-Attack) nutzt, um sich als jemand auszugeben, der oder die eigentlich Zugang haben sollte. Organisationen können sich davor schützen, indem sie vertrauenswürdige Verbindungen einschränken oder einen VPN einrichten, um den Exchange Server vom externen Zugriff zu trennen. Diese Maßnahmen können jedoch nur vor dem ersten Schritt eines Hafnium-Angriffs schützen. Die weiteren Angriffsschritte können ausgelöst werden, wenn ein Angreifer bereits Zugriff hat oder eine*n Administrator*in dazu bringen kann, eine schädliche Datei auszuführen.
- Dann erstellt Hafnium eine sogenannte Web-Shell, um den kompromittierten Server aus der Ferne zu steuern.
- Den Fernzugriff nutzt Hafnium – ausgeführt von den privaten Servern in den USA –, um Daten aus dem Netzwerk einer Organisation zu stehlen.
Sophos hat bereits in der letzten Woche reagiert, und die Sophos IPS Module in der Sophos XG-Firewall, Sophos UTM und auch den Cyberoam Appliances die erforderlichen IPS Signaturen herausgegeben. Dazu können Sie hier weitere Informationen finden:
https://docs.sophos.com/releasenotes/output/en-us/nsg/IPSReleaseNotes/9.17.93_s.pdf
IPS Signatur Release Notes, v.9.17.93 (XG85 - X450, SG105 - SG650): https://docs.sophos.com/releasenotes/output/en-us/nsg/IPSReleaseNotes/9.17.93_s.pdf
IPS Signatur Releaes Notes v.7.17.93 (XG550 – XG750): https://docs.sophos.com/releasenotes/output/en-us/nsg/IPSReleaseNotes/7.17.93_s.pdf
IPS Signatur IPS Rules (UTM): https://lists.astaro.com/ASGV9-IPS-rules.html#221 > “Server / Mail / Microsoft Exchange”
Microsoft hat ein Skript zum Test herausgebracht https://github.com/microsoft/CSS-Exchange/tree/main/Security - testen Sie damit, ob Ihr Exchange Server betroffen ist.
Bitte beachten Sie, dass Microsoft zwar umgehend ein Sicherheitsupdate bereitgestellt hat, doch die Gefahr ist damit nicht gebannt: Selbst wenn Sie im Unternehmen das Update schnell eingespielt haben, waren die Hacker oft schneller und befinden sich bereits (unerkannt) im System. Betroffene Unternehmen bemerken dies oft nicht, weil ihre Schutzlösung dies nicht erkennt. Es besteht somit Handlungsbedarf.
Die gute Nachricht: Haben Sie Sophos Intercept X Advanced und Intercept X Advanced mit EDR auf Ihren Servern installiert, sind Sie vor dem Angriff geschützt, wenn alle entsprechenden Sicherheitsfunktionen in den Richtlinien aktiviert sind. Deep Learning und gängige Exploit Prevention Module sind dabei unumgänglich, um vor einen potenziellen Angriff geschützt zu sein. Deshalb überprüfen Sie bitte, ob die entsprechenden Sicherheitsrichtlinien aktiviert sind und verifizieren Sie bitte die Einstellungen bei allen Endgeräten, speziell bei den Exchange Servern.
Sollten Sie vom Hafnium Exploit betroffen sein, kann Ihnen Sophos Rapid Response bzw. Sophos Managed Threat Response Team helfen. Wir stellen gerne den entsprechenden Kontakt her und können auch bei der Überprüfung behilflich sein, ob Sie betroffen sind. Bitte melden Sie sich per Email [email protected] oder per Telefon +49 351 81077-50, wir helfen Ihnen gerne und vermitteln ggf. auch den Kontakt zum Sophos Rapid Response Team.
