Exchange Server - Was tun wenn der Server gehackt wurde?

Anfang März 2021 ging es wie ein Lauffeuer durch die Medien: Der Mail-Server Exchange von Microsoft, mit dem weltweit sehr viele Unternehmen und Organisationen arbeiten, wurde gehackt. Laut Microsoft steckt hinter dem Angriff eine chinesische Hackergruppe namens Hafnium. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat auf seiner Webseite eine Stellungnahme veröffentlicht und die IT-Bedrohungslage als "3 / Orange" eingestuft. Dies ist beim BSI die zweithöchste Gefährdungsstufe und besagt, dass die Lage "geschäftskritisch" ist und einen "massive Beeinträchtigung des Regelbetriebs" nach sich zieht. Nun stellt sich die Frage, welche Maßnahmen Betroffene dagegen ergreifen sollten.

Was genau ist passiert?

Laut Warnung von Microsoft von Mittwoch, dem 3. März, begann die Attacke einen Tag früher und hatte bereits zahlreiche Server weltweit in Mitleidenschaft gezogen. Zwar waren die Ziele überwiegend US-amerikanische Unternehmen, Forschungseinrichtungen mit dem Fokus auf Corona, Think Tanks, NGOs und andere Organisationen. Allerdings sind auch viele deutsche Unternehmen betroffen.

Die Hacker haben dabei Schwachstellen ausgenutzt - so genannte Zero-Day-Lücken - die bis dahin nicht nicht veröffentlicht waren und für die es auch noch keine Updates oder Patches gab. Microsoft muss sich vorwerfen lassen, die Probleme bereits seit Anfang Januar 2021 zu kennen, ohne sofort tätig zu werden. Insgesamt handelt es sich um vier Schwachstellen, die bei dem Hack kombiniert angegriffen wurden. Patches zum Schließen dieser Lücken waren erst für den 9. März angekündigt. Auf Grund der Attacke wurden sie außerplanmäßig am 3. März publiziert.

Welche Server-Versionen sind betroffen?

Angriffsziele der Hacker waren die Server-Versionen 2013, 2016 und 2019, für die Microsoft jetzt Patches bereitgestellt hat. Auch für Exchange 2010 wurde ein Patch publiziert, obwohl es dafür keinen offiziellen Support mehr von Microsoft gibt. Von der Attacke verschont blieb der Cloud-Dienst von Exchange.

Die Kombination der Sicherheitslücken ermöglichte, dass die Hacker schädlichen Code mittels Webshells hochladen und ausführen konnten. Webshells sind eine Art Kommandozeilen, die im Browser in Form von Webseiten laufen. Wird nun Exchange gestartet, startet auch die Webshell des Angreifers. Er erhält dadurch Administratorrechte auf dem attackierten System und kann beliebige Befehle ausführen.

Abwehrschritte nach der Attacke

Leider reicht es für einen sicheren Betrieb nicht aus, nach dem Erkennen des Angriffs lediglich die Patches einzuspielen, die schädlichen Webshells zu löschen und das Exchange-System wieder mit dem Netzwerk zu verbinden. Die Hacker können mit ihrem Angriff auch auf andere Systeme innerhalb einer IT-Infrastruktur zugreifen und eventuell sogar bis ins Active Directory vordringen. In solch einem Fall ist eine vollständige Neuinstallation der kompletten Windows-Umgebung erforderlich.

Wurde eine Infektion bekannt, ist zu überprüfen, ob Daten abgezogen wurden, und wenn ja, welche. Da die Angreifer normalerweise mindestens die Zugangsdaten, also Benutzernamen und Passwörter, entwenden, handelt es sich bereits um einen meldepflichtigen Vorfall.

Exchange-Server sollten zunächst vom Internet getrennt werden und so lange bleiben, bis die forensische Analyse abgeschlossen und alle Systeme, nicht nur der Mail-Server, mit Patches auf den aktuellsten Stand gebracht wurden. Sobald die betroffenen Systeme und Benutzerkonten identifiziert sind, lassen sie sich bereinigen und die Angreifer aussperren. Bevor Exchange wieder in Betrieb genommen wird, sollten aber Kopien gezogen werden, um einen möglichen Datenabfluss zu prüfen.

Was wir für Sie tun können

Wir können in diesem Beitrag nicht auf sämtliche Details der Hafnium-Attacke eingehen, das würde den Umfang sprengen. Bei der EICKELSCHULTE AG verfügen wir aber über ein Expertenteam, das Ihre IT-Infrastruktur optimal betreut und jederzeit für ein gut konfiguriertes und aktuelles System sorgt. Wir beraten Sie gerne ausführlich, wenn Sie von dem Angriff betroffen sind und erarbeiten für Sie eine individuelle Lösung des Problems. An besten nehmen Sie unverzüglich Kontakt mit uns auf, damit wir einen persönlichen Termin vereinbaren können.

Wie geht's weiter?

Wie geht's weiter?

Rufen Sie uns an oder senden Sie uns Ihr Anliegen und wir melden uns schnellstmöglich bei Ihnen.

08151 77 040

* Pflichtfeld