Wegen Hafnium Zero-Day Exploit zu Sophos Central Intercept X Advanced mit E D R wechseln/upgraden

Laut Microsoft greifen gezielt chinesische Staatshacker Exchange Server an. Die kürzlich entdeckte Lücke (0 Day) – Hafnium getauft – wird bereits aktiv ausgenutzt, es werden 10000+ Opfer allein in DACH geschätzt. Alle Unternehmen, die einen eigenen Exchange Server betreiben und Email Dienste zum Beispiel per OWA (Outlook Web Access) und Active Sync den Mobilgeräten der Mitarbeiter zur Verfügung stellen (das sind nahezu alle), sind potentielle Opfer. Microsoft hat außer der Reihe Patches dafür zur Verfügung gestellt, aber Unternehmen sind oft nicht schnell genug diese einzuspielen.

Die Schwachstellen werden derzeit aktiv von einer Angreifergruppe ausgenutzt. Sie können über einen Fernzugriff aus dem Internet ausgenutzt werden. Zusätzlich besitzen Exchange-Server standardmäßig in vielen Infrastrukturen hohe Rechte im Active Directory. Es ist denkbar, dass weitergehende Angriffe mit den Rechten eines übernommenen Exchange-Servers potentiell mit geringem Aufwand auch die gesamte Domäne kompromittieren können. Bei Systemen, die bis dato nicht gepatched wurden, sollte von einer Kompromittierung ausgegangen werden. Aufgrund der öffentlichen Verfügbarkeit von sogenannten Proof-of-Concept Exploit-Codes sowie starken weltweiten Scan-Aktivitäten sieht das BSI aktuell ein sehr hohes Angriffsrisiko.

Erschwerend kommt aktuell hinzu, dass tausende Systeme noch Schwachstellen aufweisen, die seit über einem Jahr bekannt sind und noch nicht gepatched wurden. Insbesondere Kleine und Mittelständische Unternehmen (KMU) könnten hiervon betroffen sein. Neben dem Zugriff auf die E-Mail-Kommunikation der jeweiligen Unternehmen lässt sich von Angreifern über solche verwundbaren Server-Systeme oftmals auch der Zugriff auf das komplette Unternehmensnetzwerk erlangen.

Bei Servern, die bis dato nicht gepatched wurden, geht das BSI davon aus, dass diese bereits von den kriminellen Hackern übernommen worden sind und von diesen kontrolliert werden. Aufgrund der öffentlichen Verfügbarkeit von Exploit-Codes zum einfachen Ausnutzen der Schwachstellen sowie „starken weltweiten Scan-Aktivitäten“ bestehe momentan ein sehr hohes Angriffsrisiko. Anfällige Exchange-Systeme sollten daher dringend auch auf Auffälligkeiten geprüft werden.