Chinesische Hacker könnten über Sicherheitslücken Unternehmensmails mitlesen. Microsoft stellt Updates bereit und rät dringend zur Aktualisierung.
Microsoft musste mit vier Patches Sicherheitslücken in der Nacht umgehend schließen, da sie bereits von Hackern für das Absaugen von Daten ausgenutzt wurde. Der Software-Konzern ruft Nutzer auf, umgehend die Updates zu installieren. Microsoft und auch das IT-Sicherheitsunternehmen G Data CyberDefense AG vermutet eine chinesische Gruppe hinter den Angreifern.
Welches Einfallstor bieten die vier Lücken? Hacker könnten damit sowohl eine Authentisierung ohne Nutzerdaten, das Schreiben und Ausführen von beliebigem Code als auch die Ausleitung von Unternehmensdaten erreichen. Angreifer könnten sogar ganze Offline-Adressbücher und Mailboxen exfiltrieren.
Angreifer, die die Lücken ausnutzen, geben sich – vereinfacht gesagt – als Exchange-Server aus. Dadurch ist es möglich, die Zugänge zu kompromittieren, ohne selbst Kenntnis von Passwörtern zu haben. Damit ist ein direkter Einblick in das Postfach des jeweiligen Nutzers möglich. Schon diese Sicherheitslücke allein wäre hochgradig kritisch. Die übrigen Lücken werden unter anderem dafür genutzt, so genannten Webshells auf dem Server einzurichten. Über diese können Angreifer dann jederzeit von außen auf Informationen zugreifen. Es gilt als gesichert, dass die Gruppierung hinter Hafnium vor allem Forschungseinrichtungen (speziell solche, die in der Erforschung ansteckender Krankheiten aktiv sind), NGOs und Zulieferunternehmen für die Rüstungsindustrie ins Visier nimmt.
Authentisierung versus Authentifizierung
Es mag auf den ersten Blick nach einer Verwechslung aussehen. Es gibt aber einen Unterschied zwischen Authentisierung, bei der es sich um das Nachweisen einer Identität handelt. Authentifizierung bezeichnet die Prüfung dieses Identitätsnachweises auf seine Authentizität.
Authentisierung: Person X bringt mit Hilfe eines Ausweises/Passworts den Beweis für ihre Idenität.
Authentifizierung: Person Y prüft die vorgelegten Dokumente von Person X. In der IT erfolgt die Prüfung, in dem die Kombination von Benutzernamen und Passwort im System abgeglichen wird.
Autorisierung: nach erfolgreicher Prüfung wird Zugang gewährt.
Es habe sich um zielgerichtete Attacken gehandelt, schreibt Microsoft. Hinweise darauf, dass auch Privatkunden angegriffen worden seien, gebe es derzeit nicht. Die Hacker lassen aber bei ihren Aktivitäten Spuren, wie G Data schreibt. Eines dieser Anzeichen ist recht typisch für die Ausleitung von Daten. Beispielsweise speichern die Täter Kopien der lokalen Outlook-Datei in einem ZIP-Archiv, welches in %ProgramData% (in der Suchzeile eingeben) abgelegt wird. Ein regelmäßiger Blick kann sich also an dieser Stelle lohnen. Typischerweise bereiten die Täter die Ausleitung von Daten vor, indem sie die erbeuteten Informationen an einer Stelle sammeln und von dort aus dann nach außen senden.
China weist Vorwürfe zurück
Betroffen sind laut Microsoft die Exchange-Server-Versionen 2013, 2016 und 2019. Exchange wird von vielen Unternehmen, Behörden und Bildungseinrichtungen als E-Mail-Plattform genutzt. Bei einer erfolgreichen Attacke über die Schwachstellen ist es möglich, Daten aus dem E-Mail-System abzugreifen. Microsoft wurde auf die Sicherheitslücken von IT-Sicherheitsforschern aufmerksam gemacht.
Die "Hafnium"-Gruppe agiert laut Microsoft von China aus - habe aber für die Attacken auf Infrastruktur in den USA zurückgegriffen. Der Sprecher des chinesischen Außenministeriums, Wang Wenbin, sagte in einer Pressekonferenz am Mittwoch in Peking, dass Schlussfolgerungen auf mögliche Täter auf Beweisen beruhen sollten und mutwillige Anschuldigungen vermieden werden sollten.
