2571538

Hacker greifen Microsoft Exchange Server an

03.03.2021 | 09:05 Uhr | Frank Ziemann

Mit Updates außer der Reihe beseitigt Microsoft mehrere 0-Day-Lücken in Exchange Server. Chinesische Hacker sollen sie bereits für gezielte Angriffe auf Mail-Server nutzen.

Eine Woche vor dem regulären Update-Dienstag hat Microsoft außerplanmäßige Sicherheits-Updates für Exchange Server 2010 bis 2019 bereitgestellt. Sie schließen sieben Sicherheitslücken, darunter vier als kritisch eingestufte und drei, die als hohes Risiko ausgewiesen sind. Exchange Online ist nicht betroffen.

Vier dieser Schwachstellen (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-2706) werden laut Microsoft bei gezielten Angriffen auf Exchange Server in Unternehmen und Organisationen ausgenutzt. Das Microsoft Threat Intelligence Center (MSTIC) ordnet diese Angriffe einer Hacker-Gruppe namens „Hafnium“ zu. Dabei soll es sich um eine staatlich unterstützte Gruppe handeln, die von China aus operiert und angemietete VPN-Server in den USA nutzt.

Die Angreifer haben aus den vier 0-Day-Lücken eine Exploit-Kette geschmiedet, mit der sie in Exchange Server eindringen, um dort Daten zu stehlen und weitere Malware zu installieren. Sie stehlen etwa das Exchange-Adressbuch, das Informationen über die jeweilige Organisation und ihre Benutzer enthält. Microsoft liefert in seinem Security Blog eine ausführliche Beschreibung der Angriffe und nennt Symptome, an denen bereits erfolgte Attacken erkannt werden können.

Die Hafnium-Gruppe zielt laut Microsoft auf ein breites Spektrum von Unternehmen und Organisationen in den USA. Betroffene Branchen reichen von medizinischer Forschung über Anwaltskanzleien und Rüstungsunternehmen bis zu Hochschulen und NGOs (Nichtregierungsorganisationen).

Unternehmen, Behörden und Organisation (auch in Europa), die eigene Exchange Server betreiben, sollten die bereitgestellten Sicherheits-Updates umgehend einspielen, um sich vor Angriffen wie diesen zu schützen. Der nächste turnusmäßige Patch Day ist am kommenden Dienstag, 9. März.


PC-WELT Marktplatz

2571538