Auf den Fußspuren der Hafnium-Hacker nutzen nun auch erste Malware-Gruppen die kürzlich bekannt gewordenen Schwachstellen in Microsoft Exchange.
Am 2. März hat Microsoft außer der Reihe Sicherheits-Updates für Exchange Server bereitgestellt, um mehrere kritische Schwachstellen zu beheben. Die 0-Day-Lücken werden bereits seit Januar für Angriffe genutzt. Microsoft macht dafür eine chinesische Hacker-Gruppe namens Hafnium verantwortlich. Inzwischen greifen auch andere Online-Kriminelle anfällige Exchange Server an, meist eher wahllos. Sie schleusen die Ransomware DearCry ein, um Lösegeld zu erpressen. Microsoft führt die entdeckten Schädlinge unter dem Namen „Ransom:Win32/DoejoCrypt.A“, während sie das britische Sicherheitsunternehmen Sophos als „Troj/Ransom-GFE“ erkennt. Die Angreifer nutzen die gleichen, unterdessen als „ProxyLogon“-Schwachstellen bekannten Exchange-Lücken wie die Hafnium-Gruppe. Die erste Angriffswelle der Hafnium-Hacker galt noch vorwiegend US-amerikanischen Zielen. Kaum waren Microsofts Updates verfügbar, wurden sie von anderen Tätergruppen analysiert, um funktionierende Exploits zu schreiben. Die resultierende Angriffe galten dann auch Institutionen in Europa, so etwa der Europäischen Bankenaufsicht (EBA). Die noch etwas jüngeren Ransomware-Attacken sind mittlerweile weltweit zu beobachten. ➤ Die neuesten Sicherheits-Updates
Nach Angaben von Sophos ist DearCry, wie damals WannaCry , ein Ransomware-Typ, der verschlüsselte Kopien der attackierten Dateien ablegt und dann die ursprünglichen Dateien löscht. Da die verschlüsselten Dateien an anderer Stelle auf dem Datenträger liegen als die Originale, besteht zumindest eine gewisse Chance, die unverschlüsselten Daten noch zu retten, solange sie nicht überschrieben worden sind. Manch andere Erpresser-Malware überschreibt die Originaldateien mit den verschlüsselten Kopien. Die Verschlüsselung, die DearCry verwendet, setzt auf ein Paar aus öffentlichem und privatem Schlüssel. Der öffentliche Schlüssel (public key) dient zum Verschlüsseln und steckt im Code der Ransomware, sodass der Schädling nicht erst Kontakt zu einem Mutterschiff (C&C-Server) aufnehmen muss. Exchange Server erlauben meist nur Exchange-Diensten den Zugriff auf das Internet. Der geheime private Schlüssel (private key) ist im Besitz der Täter. Ohne diesen können die Dateien nicht entschlüsselt werden. Microsoft hat in der letzten Woche auch direkte Sicherheits-Updates für Exchange-Versionen bereitgestellt, die an sich nicht mehr unterstützt werden. Das betrifft längst überholte kumulative Updates (CU) für Exchange Server 2013, 2016 und 2019. Dies erspart es Administratoren, zunächst ein aktuelles kumulatives Update einspielen zu müssen, bevor sie die Patches gegen ProxyLogon-Schwachstellen installieren können. Das ist nämlich durchaus nicht trivial. Allerdings beseitigen diese Updates lediglich diejenigen vier Exchange-Lücken (CVE-2021-27065, CVE-2021-26855, CVE-2021-26857, CVE-2021-26858), die bei den Angriffen ausgenutzt werden.
