Microsoft Exchange-Hack: Wie dieser möglich war und wie man Daten besser schützen kann.
Der Microsoft Exchange-Hack war einer der schlimmsten Hacks der Geschichte, aber sicher nicht der letzte.
Microsoft Exchange-Hack
Worum ging es beim Microsoft Exchange-Hack?
Im Januar 2021 wurden Microsoft mehrere Zero-Day-Exploits gemeldet, die es böswilligen Angreifern ermöglichten, aus der Ferne auf Microsoft Exchange-Server zuzugreifen. Am 2. März veröffentlichte Microsoft einen Patch, um diese Sicherheitslücken zu schließen. Allerdings sind bis heute nicht alle Exchange-Server gepatcht, so dass die Angriffe weitergehen.
Wie war der Microsoft Exchange-Hack möglich?
Zero-Day-Schwachstellen sind Sicherheitslücken in Computersoftware, die dem Hersteller einer Software nicht bekannt sind. Im Fall von Microsoft Exchange existierten die Schwachstellen sehr wahrscheinlich seit 2010. Auf den lokal gehosteten Exchange-Servern von zehntausenden Unternehmen, Behörden und anderen Organisationen lief die betroffene Software.
Die schiere Menge an eingesetzten Exchange-Servern sowie die Zeit, die jede einzelne Organisation benötigte, um ihre Server zu patchen, öffnete böswilligen Angreifern Tür und Tor, um diese Schwachstellen auszunutzen - selbst nachdem der Patch verfügbar war.
Allein in den USA wurden mindestens 30.000 Organisationen angegriffen.
Zeitleiste
Januar
Die Microsoft Exchange-Schwachstelle, die es einem Angreifer ermöglicht, die Authentifizierung zu umgehen und sich als Administrator des Servers auszugeben, wurde erstmals von einem leitenden Sicherheitsforscher der Sicherheitstestfirma DEVCORE gemeldet, der sich unter dem Namen “Orange Tsai” ausgibt.
Just report a pre-auth RCE chain to the vendor. This might be the most serious RCE I have ever reported! Hope there is no bug collision or duplicate😝
— Orange Tsai 🍊 (@orange_8361) January 5, 2021
Später in diesem Monat warnt die Sicherheitsfirma Dubex Microsoft vor Angriffen auf eine neue Exchange-Schwachstelle.
Februar
Anfang Februar warnt die Sicherheitsfirma Volexity Microsoft vor aktiven Angriffen über bisher unbekannte Exchange-Schwachstellen.
Am 8. Februar teilt Microsoft der Firma Dubex mit, dass es den Bericht intern “eskaliert” hat.
März
Am 2. März veröffentlicht Microsoft Updates, um vier Zero-Day-Schwachstellen in Exchange zu patchen.
Gezieltes und massenhaftes Ausnutzen der Schwachstellen hat jedoch bereits am 28. Februar begonnen.
Am 12. März gibt Microsoft an, dass immer noch 82.000 ungepatchte Server von den Schwachstellen betroffen sind.
Bis heute sind viele lokal gehostete Microsoft Exchange-Server ungepatcht und damit weiterhin anfällig für diese Angriffe.
Die Angreifer
Microsoft gab an, dass der Angriff ursprünglich von HAFNIUM, einer staatlich gesponserten chinesischen Hackergruppe, begangen wurde. Microsoft identifizierte HAFNIUM als “einen hochqualifizierten und hochentwickelten Akteur”. Die E-Mail-Systeme der Unternehmen wurden gezielt angegriffen, um “Informationen aus einer Reihe von Branchen zu exfiltrieren, darunter Forschung für Infektionskrankheiten, Anwaltskanzleien, Hochschulen, Verteidigungsunternehmen, politische Denkfabriken und Nichtregierungsorganisationen”. Laut Microsoft war dies “das achte Mal in den letzten zwölf Monaten, dass Microsoft öffentlich bekannt gegeben hat, dass nationalstaatliche Gruppen auf Institutionen zielen, die für die Zivilgesellschaft wichtig sind”. Später wurden die Schwachstellen auch von anderen Angreifern ausgenutzt.
Was wir tun können, um unsere Daten zu schützen
Zunächst einmal müssen wir anerkennen, dass es eine schwierige und dauerhafte Aufgabe ist, Sicherheit im Internet zu erreichen. Während die meisten Hosting-Anbieter sehr gut darin sind, Sicherheitslücken sofort zu schließen, ist Sicherheit für viele Unternehmen auch eine Frage des Vertrauens.
Vertrauen ist der Hauptgrund, warum Unternehmen, besonders in Deutschland, ihre Daten immer noch lieber im eigenen Unternehmen hosten. Das ist völlig verständlich: Wenn man weiß, wo der Server steht, wenn man weiß, wer Zugang zu den Servern hat, vertraut man darauf, dass die Daten auf diesen Servern sicher verwahrt werden.
Die Alternative - die Daten des Unternehmens in der Cloud zu hosten, also auf fremden Servern - erscheint viel riskanter und nicht vertrauenswürdig. Und die Wahrheit ist, dass diese Unternehmen Recht haben: Wenn Sie Ihre Daten in der Cloud hosten, müssen Sie darauf vertrauen, dass der Hosting-Anbieter die Daten auf jeden Fall sicher aufbewahrt. Dazu gehört auch, dass der Anbieter die Daten vor den eigenen Mitarbeitern sicher halten muss, was nahezu unmöglich ist. Eine kürzlich publizierte Bellingcat-Untersuchung hat gezeigt, wie einfach es sein kann, an sensible persönliche Daten von Mitarbeitern zu gelangen.
Verschlüsselung ist unumgänglich
Vertrauen kann man jedoch aufbauen, indem man eine weitere Sicherheitsebene hinzufügt: die Ende-zu-Ende-Verschlüsselung.
Daten, die Ende-zu-Ende-verschlüsselt sind, bleiben für den Dienstanbieter unzugänglich. Tutanota zum Beispiel ist ein Dienst, der so viele Daten wie möglich Ende-zu-Ende verschlüsselt.
Das hat zur Folge, dass bei Tutanota kein Mitarbeiter Zugriff auf die Daten der Kunden hat, da diese verschlüsselt sind. Zudem würde ein böswilliger Angreifer, wenn er sich Zugang zu den Servern verschaffen könnte, ebenfalls nur auf verschlüsselte Daten zugreifen, was die Daten für Wirtschaftsspionage durch ausländische Staatsakteure unbrauchbar macht.
Cloud-Service-Provider haben in der Regel einen klaren Fokus auf Sicherheit. Schließlich liegt es in ihrer Verantwortung, Schwachstellen schnell zu patchen. Das befreit Unternehmen, die ihre Daten bei einem Cloud-Anbieter hosten, von der Aufgabe, ihre Server manuell zu aktualisieren. Darüber hinaus ist es erforderlich, dass der Cloud-Anbieter auch die Daten seiner Kunden mit einer Ende-zu-Ende-Verschlüsselung versieht.
Sicherheit richtig machen
Die Microsoft Exchange Hacks zeigen, dass es schweirig ist, Sicherheit richtig zu machen.
Besonders schwierig ist dies für kleine und mittelständische Unternehmen, was durch die Tatsache unterstrichen wird, dass bis heute Tausende von Exchange-Servern ungepatcht bleiben.
Mit der Verfügbarkeit von Ende-zu-Ende-Verschlüsselung in immer mehr Diensten wie Tutanota ist es an der Zeit anzuerkennen, dass das verschlüsselte Hosting der Daten in der Cloud für viele Unternehmen eine vertrauenswürdige Alternative ermöglicht.