Microsoft hat kürzlich vier Zero-Day-Sicherheitslücken in seinem Exchange-E-Mail-Server behoben. Die Auswirkungen der Mängel sind ziemlich alarmierend, da die Exchange-Plattform eine der beliebtesten in der Unternehmensinfrastruktur ist.
Zudem, Microsoft glaubt, dass die Mängel von einer in China ansässigen Bedrohungsgruppe namens Hafnium aktiv ausgenutzt wurden. Die Hacking-Gruppe hat nach dauerhaftem Zugriff auf E-Mail-Systeme gesucht, Microsoft sagt. Trotz der Angriffe wurden als begrenzt und gezielt beschrieben, Auch andere Bedrohungsgruppen nutzen die Zero-Days. Hinweise auf Angriffe gehen auf den Beginn von zurück 2021.
Hafnium-Hacker, die auf verschiedene Institutionen abzielen
Erwähnenswert ist, dass dies das erste Mal ist, dass Microsoft Hafnium-Hacker öffentlich erwähnt. Diese Hacker haben verschiedene Institutionen und Experten ins Visier genommen, einschließlich Anwaltskanzleien, Bildungseinrichtungen, NGOs, Krankheitsforscher.
Historisch, Hafnium richtet sich in erster Linie an Unternehmen in den USA, um Informationen aus einer Reihe von Branchen zu filtern, einschließlich Forscher für Infektionskrankheiten, Anwaltskanzleien, Hochschulen, Verteidigungsunternehmen, Politik Think Tanks und NGOs. Während Hafnium in China ansässig ist, Es führt seine Operationen hauptsächlich von geleasten virtuellen privaten Servern aus (VPS) in den Vereinigten Staaten, sagt Tom Burt, Corporate Vice President für Kundensicherheit & Vertrauen bei Microsoft.
Microsoft hat schnell daran gearbeitet, die Hafnium-Exploits zu patchen. Jedoch, Von anderen nationalstaatlichen Akteuren und Hackern wird erwartet, dass sie nicht gepatchte Systeme nutzen. Wenn Sie die Patches so schnell wie möglich anwenden, wird das Risiko von Kompromissen im Zusammenhang mit den Zero-Days von Exchange minimiert.
Weitere Informationen zu den vier Zero-Days des Exchange-Mailservers
CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, und CVE-2021-27065
Die Sicherheitsanfälligkeiten, die Microsoft Exchange Server betreffen, sind CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, und CVE-2021-27065. Zum Glück, Exchange Online ist nicht betroffen. Betroffene Versionen sind Microsoft Exchange Server 2013, Microsoft Exchange Server 2016, und Microsoft Exchange Server 2019.
Die Fehler werden als Teil einer Angriffskette verwendet, Microsoft warnt. Erfolgreich initiiert werden, Ein Angriff erfordert eine nicht vertrauenswürdige Verbindung zu einem bestimmten Exchange-Server-Port, 443. Diese Lücke kann durch Einschränkung der nicht vertrauenswürdigen Verbindung geschützt werden, oder indem Sie ein VPN einrichten, um den Server vom externen Zugriff zu trennen. Jedoch, Diese Abschwächungstricks bieten nur einen teilweisen Schutz. Das Unternehmen warnt davor, dass andere Teile des Kettenangriffs ausgelöst werden können, wenn ein Angreifer bereits Zugriff hat, oder einen Administrator davon überzeugen kann, eine schädliche Datei auszuführen.
Es ist merkwürdig, das im letzten März zu erwähnen, Staatlich geförderte Hacking-Gruppen nutzten CVE-2020-0688 aus, eine weitere Sicherheitsanfälligkeit in Microsoft Exchange-E-Mail-Servern. Dann, im Mai, Der Exchange-Server wurde vom sogenannten Valar-Trojaner angegriffen. Der Malware-Angriff richtete sich hauptsächlich gegen Opfer in Deutschland und den USA. Es wurde als fortgeschrittene Bedrohung eingestuft, die mehrstufig an die anfälligen Systeme übertragen wurde.