Anfang März hat eine Hacker-Gruppierung namens Hafnium mehrere Sicherheitslücken in Microsoft Exchange ausgenutzt, um auf zehntausende, nicht gesicherte, Microsoft Exchange Server zuzugreifen. Microsoft macht eine mutmaßlich staatsnahe, aus China operierende Gruppe namens Hafnium für die Angriffe verantwortlich.

Was ist Microsoft Exchange?

Microsoft Exchange ist eine Software von Microsoft, mit der man E-Mails versenden und empfangen kann. Neben den E-Mail Funktionen, bietet die Software auch verschiedene Möglichkeiten der Zusammenarbeit (Kalender, Kontakte, Gruppen, Aufgaben, …).

Exchange vs. Exchange Online

Microsoft Exchange gibt es in zwei verschiedenen Versionen:

1. Microsoft Exchange, welches auf einem eigenen Server installiert werden muss
2. Microsoft Exchange Online, welches in der Cloud läuft und in Microsoft 365/ Office 365 integriert ist.

Die beiden Versionen haben die gleichen Funktionen, doch muss Microsoft Exchange auf einem physischen Server z.B. in der Schule oder in der Gemeinde als Software installiert werden.

Microsoft Exchange Online ist stattdessen rein in der Cloud nutzbar, wenn man ein Microsoft 365 / Office 365 Abonnement abgeschlossen hat.

Bei der Installation auf einem eigenen Server muss dieser eine direkte Verbindung ins Internet haben, damit E-Mails versendet und empfangen werden können oder dass Nutzer z.B.: von Zuhause aus E-Mails lesen können. Dies bedeutet, dass der selbst betriebene Exchange Server immer aktuelle Updates und andere Sicherheitsvorkehrungen haben muss.

März 2021: Exchange-Sicherheitslücke

Im März 2021 wurden über eine Kombination verschiedener Sicherheitslücken tausende in Unternehmen, Organisationen und Behörden betriebene Exchange Server angegriffen. Microsoft veröffentlichte in der Folge einen Patch zum Schließen der Lücken und riet Kunden zur sofortigen Installation. 

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat begonnen, potentiell Betroffene zu informieren. Es empfiehlt allen Betreibern von betroffenen Exchange-Servern, sofort die von Microsoft bereitgestellten Patches einzuspielen.

Nicht aktualisierte Exchange Server können über diese Sicherheitslücken von Angreifern übernommen werden und auch die Benutzerkonten und Daten können abrufbar und nicht mehr sicher sein.

Wenn die aktuellen Updates nicht eingespielt wurden, können weiterhin schädliche Dateien auf den lokal betriebenen Exchange Servern installiert werden. Hierbei handelt es sich meist um sogenannten „Webshells“, welche webbasierte Schnittstellen sind, mit deren Hilfe die Angreifer über das Internet auf den Exchange Server zugreifen können, um Programme zu starten oder Dateien auszulesen.

Auch nach dem Einspielen der Updates muss der Exchange Server durchforstet werden, ob bereits solche „Webshells“ installiert wurden. Diese „Hintertüren“ müssen entfernt werden, da sonst ein Angriff jederzeit möglich ist, auch Jahre später.

Was sollen Schulen nun unternehmen?

-> Wird an der Schule ein lokal betriebener Exchange Server genutzt?

Am besten setzt man sich mit der zuständigen IT Firma / der IT der Gemeinde in Verbindung und fragt nach, ob ein lokaler Microsoft Exchange Server genutzt wird und ob man von den aktuellen Sicherheitslücken betroffen ist. Die IT-Fachkräfte sollten die nötigen Updates einspielen und die Probleme mit Hilfe der von Microsoft bereitgestellten Programmen lösen können.

Zusätzlich empfiehlt es sich, eine Bestätigung einzuholen, dass der genutzte Server sicher und nicht von den Problemen betroffen ist.

-> Wird Microsoft 365 / Office 365 als E-Maildienst verwendet?

Die Sicherheitslücken und Probleme betreffen nur lokale Exchange Installationen und nicht Exchange Online, welches in Microsoft 365 integriert ist. Hier muss man nichts weiter unternehmen.

-> Wird ein anderer E-Mail Dienst genutzt?

Hier liegt die Verantwortung beim Betreiber (z.B.: Strato, 1&1, …), der für die Updates und Sicherheitseinstellungen verantwortlich ist. Dennoch kann man auch beim Betreiber nachfragen und um aktuelle Informationen zur Sachlage bitten.

Sollten Sie weitere Fragen haben, können Sie mir gerne eine E-Mail schreiben: r.scheglmann@gmail.com

Links

• BSI warnt: Kritische Schwachstellen in Exchange-Servern
• heise.de – Jetzt patchen! Angreifer attackieren Microsoft Exchange Server
• Was ist Microsoft Exchange Server?
• Ausführliche Informationen zur Sicherheitslücke: HAFNIUM-Exploit