FM4-Logo

jetzt live:

Aktueller Musiktitel:

Ausgestreckte Hand zeigt auf Email Symbol

CC0

Erich Moechel

Angriff auf Exchange-Server überlastet IT-Sicherheitsbranche

In Österreich gibt es zuwenig Ressourcen, um die vielen akut gefährdeten Maschinen schnell zu sichern. Dabei zählt jetzt jede Stunde, denn die ersten Verschlüsselungstrojaner sind nach Bekanntwerden der Sicherheitslücken in Rekordzeit aufgetaucht.

Von Erich Moechel

Kaum waren die Warnungen ausgesprochen, da trafen sie schon ein. Am Freitag wurden laut Microsoft bereits erste Verschlüsselungstrojaner auf durch Sicherheitslücken gefährdeten Exchange-Mailservern gesichtet. Davor hatten staatliche Akteure nach dem Auffliegen ihres Spionageangriffs weltweit mehr als 100.000 dieser Server mit Hintertüren ausgestattet, die seitdem für Cyberkriminelle offenstehen.

Deutschland steht offenbar im Zentrum, etwa 2.000 Server dürften in Österreich betroffen sein und müssten möglichst schnell gesichert werden. „Leider mussten auch wir Kunden vertrösten und Aufträge absagen, die gesamte Branche ist voll ausgelastet“, sagte Joe Pichlmayr von der IT-Sicherheitsfirma Ikarus zu ORF.at. „Um einen solchen Flächenbrand sofort zu löschen, sind alle Cyber-Feuerwehren Österreichs zusammen viel zu klein“.

Twitter Screenshot Arne Schönbohm

Twitter / BSI Arne Schönbohm

Diese drastisch formulierten Tweets vom Freitag Abend stammen vom Präsidenten des Bundesamtes für Sicherheit in der Informationstechnik. Das BSI hatte davor schon angesichts der großen Verbreitung der Sicherheitslücke in Deutschland Alarmstufe Rot ausgerufen. Dass Unternehmen von offizieller Seite aufgerufen werden, ihre IT-Infrastruktur im Zweifelsfall vom Internet zu trennen, dürfte überhaupt ein Novum sein.

Webshell gefällig? Bittesehr!

Am Mittwoch hatte sich das ganze Ausmaß der Bedrohung durch diesen Großangriff bereits überdeutlich abgezeichnet. Kurz nach den Warnungen tauchten die ersten Verschlüsselungstrojaner auf.

Mit der Metapher „Hintertüren“ sind in diesem Fall sogenannte Webshells gemeint, das sind einfach die Standard-Kommandozeilenprogramme, mit denen Webmaster ihre Server administrieren. Für Dritte aus dem Internet dürfen diese Kommandozeilenprogramme auf einem Server keinesfalls zugänglich sein, denn darüber werden Angriffs-Scripts gestartet. Die vermutlich chinesischen Akteure - die Gruppe wird von Microsoft „Hafnium“ genannt - hatten nach dem Auffliegen ihres Spionageangriffs auf Ziele in Südostasien und Afrika wahllos auf verwundbaren Exchange-Servern weltweit solche Webshells platziert. Der prozentuell weitaus größte Teil dieser Server steht in Deutschland.

„Es lässt sich zwar binnen Minuten recht einfach feststellen, ob eine solche Webshell von Dritten auf einem Server installiert ist“, so Pichlmayr zu ORF.at, „aber damit ist es nicht getan. Es braucht dazu eine forensische Untersuchung des Servers, nämlich ob die Shell bereits benutzt wurde, um Schadprogramme versteckt zu installieren.“ Das nun binnen kürzester Zeit auf einer solchen Zahl von Servern gleichzeitig durchzuführen, übersteige ganz einfach die personellen Gesamtressourcen in der Sicherheitsbranche, so Pichlmayr weiter.

Umweltbundesamt DE Screenshot

BMU DE

Das deutsche Umweltbundesamt ist zum Beispiel seit Donnerstag nur noch telefonisch erreichbar. Davor waren nach Medienberichten die Europäische Bankaufsicht, Firmen und Behörden in mehreren Ländern betroffen. Unklar in allen diesen Fällen ist, ob nur die Webshell der Hafnium-Gruppe aufgefunden wurde, oder ob im Rahmen der ursprünglichen Spionagekampagne angegriffen worden war. (siehe unten)

Die Mühen der Updates

Acht Monate nach dem Auffliegen ähnlich schwerer Sicherheitslücken waren im Oktober 2020 noch immer 3.000 Exchange-Server in Österreich ohne Sicherheitsupdate.

Die Nachfrage war nicht direkt nach dem Bekanntwerden vier schwerer Lücken am 2. März, sondern zeitversetzt sprunghaft angestiegen. Erst die großflächige Verseuchung der Server mit Webshells, die tags darauf völlig unerwartet begonnen hatte, sorgte für die gebührende Hektik. Die wohl größte Gefahr geht davon aus, dass Exchange-Server standardmäßig über weitgehende Rechte in Microsofts Active Directory verfügen, mit dem das gesamte Netz verwaltet wird. Damit ist es hochwahrscheinlich, dass Angreifer von Exchange aus ziemlich problemlos das gesamte Netz hinter diesen Mailservern übernehmen können.

Zudem sind in der Regel eine Anzahl anderer Services eingebunden. Da Microsoft aufgrund der Gefährlichkeit der Schwachstelle kein kumulatives, sondern ein einzelnes, vorgezogenes Sicherheits-Update veröffentlicht hat, können diese Patches nur eingespielt werden, wenn die Exchange-Systeme bis dahin auf dem letzten Stand gehalten wurden. Und das ist eben bei sehr vielen Servern nicht der Fall, zudem sind in der Regel auch Services, woe Zeitplaner, Instant Messaging usw. in Microsoft Exchange eingebunden. Das heißt, das Update wird eine zeitraubende Angelegenheit.

ESET Countries

ESET

Aus dieser Grafik der Firma ESET, deren Sicherheitssoftwares auf vielen Servern weltweit verbreitet sind, geht hervor, warum man im Deutschen Bundesamt für Sicherheit in der Informationsindustrie so nervös ist. Deutschland ist laut ESET das prozentual von Webshells weitaus am heftigsten betroffene Land.

Was vor der Webshell-Pandemie passierte

Ende September hatten Verschlüsselungserpresser die Uhrenmacher Swatch Group, eine französische Großreederei, einen US-Spitalsbetreiber mit 400 Kliniken und einen Versicherungsbroker erwischt.

Laut der Sicherheitsfirma ESET hatte eine vor allem auf Südostasien und Afrika abgezielte, konzertierte Spionagekampagne diese vier bis dahin unbekannten Sicherheitslücken in Microsoft Exchange instrumentalisiert. Der erste Angriff begann bereits in der ersten Jännerwoche und wird der Gruppe Hafnium zugeschrieben, die Microsoft als Mastermind dieses Generalangriffs einstuft. Dann wurden weitere, ähnlich gelagerte Angriffe anderer Gruppen identifiziert. Das Sicherheitsunternhmen Volexity sowie zwei weitere Firmen hatten Microsoft da bereits mehrfach kontaktiert und darauf hingewiesen, dass Zero-Day-Exploits dafür benützt würden.

Microsoft hatte weder bestätigt, dass es sich um bis dahin unbekannte schwere Sicherheitslücken handelt, noch Warnungen an seine Kunden ausgeschickt. Die großangelegte Spionagekampagne ging auch im Februar völlig ungestört weiter, zuletzt hatten ESET und andere aus der Sicherheitsbranche insgesamt zehn verschiedene (!) Gruppen von Akteuren ausgemacht, die allesamt dieselben Lücken nützen. Etwa die Hälfte davon war bereits vorher mehrmals durch Spionagetätigkeit aufgefallen, wie etwa „Winnti“, „Calypso“ oder „Tick“, die alle China zugerechnet werden.

Näherkommende Einschläge

Warum diese großangelegte, verdeckte Spionageaktion auf anderen Kontinenten urplötzlich in einen öffentlichen Flächenangriff auf den Westen umschlug, lässt auf eine Eskalation im Cyberspace schließen, in die auch China einbezogen ist. Warum weltweit die allermeisten, mit Webshells angriffsreif gemachte Server aber in Deutschland stehen, ist derzeit völlig unklar. Für Österreich bedeutet das jedenfalls nichts Gutes, denn die Anzeichen mehren sich, dass auch die kleine, neutrale Alpenrepublik in diese Auseinandersetzung der großen Cybermächte mithineingezogen wird. Im Verlauf eines Jahres gab es einen Spionageangriff auf das Außenministerium, dann stand vom ELAK-System angefangen die halbe kritische Infrastruktur Österreichs wochenlang offen. Im Herbst waren acht Monate nach dem Bekanntwerden fataler Sicherheitslücken immer noch 3.000 Windows-Server ungesichert.

Joe Pichlmayr

Joe Pichlmayr

Und so sieht Joe Pichlmayr, einer der erfahrensten IT-Sicherheitstechniker des Landes, die Republik derzeit dafür aufgestellt: „Wir sind auf solche Vorfälle nicht ausreichend vorbereitet und ganz besonders, wenn es ein so breiter Angriff wie der aktuelle ist. Jetzt müssen Kunden vertröstet oder abgewiesen werden, weil die Branche noch viel zu klein ist, um auf die ständig steigenden Bedrohungen angemessen reagieren zu können. Nirgendwo in Österreich gibt es dafür auch nur annähernd ausreichende Budgets, seit mehr als einem Jahrzehnt werden viel zu wenige Sicherheitstechniker ausgebildet. Alle Regierungen haben die steigenden Probleme bis jetzt ignoriert. Es ist jetzt überfällig, dass der österreichische Staat in die Gänge kommt, denn alle diese hochgefährlichen Vorfälle wurden nur irgendwie und auch mit Glück von jeweils lächerlich kleinen Häuflein von Sicherheitstechnikern wegimprovisiert.“

Update 2021 03 15 Durch ein falsch gesetztes Anführungszeichen wurden die letzten beiden Sätze oberhalb des Fotos versehentlich Joe Pichlmayr in den Mund gelegt. Über alle drei dabei aufgezählten Vorfälle des Jahres 2020 hatte ORF.at in insgesamt acht großen Artikeln ausführlich berichtet.

Es gibt wieder einen RSS-Feed für diesen Blog. Sachdienliche Informationen, Metakritiken et al. sind über dieses Formular verschlüsselt und anonym beim Autor einzuwerfen. Wer eine Antwort will, gebe tunlichst eine Kontaktmöglichkeit an.

mehr Netzpolitik:

Aktuell: