Analyse: Exchange und die Cyber-Abschreckungsspirale

Hinter der Eskalation rund um die Exchange-Lücken stehen Militärs, die ihre Cyber-Muskeln spielen lassen, meint Jürgen Schmidt von heise Security.

Lesezeit: 3 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 244 Beiträge

(Bild: JARIRIYAWAT/Shutterstock.com)

Von
  • Jürgen Schmidt

Die aktuellen Sicherheitslücken in Microsoft Exchange und die darüber kompromittierten Server sind mehr als nur ein weiteres Sicherheitsloch in einem Microsoft-Produkt. Sie sind der sichtbare Teil eines der größten IT-Security-Fiaskos und ein weiterer Meilenstein einer Cyber-Aufrüstungsspirale.

Kurz zu dem was passiert ist – zumindest so weit es bisher bekannt ist. Microsoft Exchange ist für viele Unternehmen die Kommunikationszentrale. Darüber laufen insbesondere alle E-Mails, aber auch Adressbücher, Terminverwaltung und so weiter. In der Server-Software steckten vier bis vor Kurzem unbekannte Sicherheitslücken, die ein Angreifer ausnutzen kann, um den Server komplett unter seine Kontrolle zu bringen. Damit kann er dann alle E-Mails der Firma lesen oder auch manipulieren. Oder er nutzt den Server als Einstiegspunkt für weitere Angriffe ins Firmennetz.

Genau das hat eine Gruppe von Angreifern offenbar mindestens seit Anfang Januar gemacht: Am 6. Januar beobachtete die Sicherheitsfirma Volexity erste Angriffe über bis dato unbekannte Schwachstellen in Exchange. Dies waren offenbar vereinzelte, sehr gezielte Aktionen, bei denen sich die Angreifer recht viel Zeit ließen, wie es bei Advanced Persistent Threats (APTs) üblich ist.

Microsoft bestätigte recht schnell, dass es sich um bisher unbekannte Sicherheitslücken (sogenannte Zero Days) handelte und arbeitete an Patches, die die Lücken schließen. Noch am 18. Februar bestätigte der Exchange-Hersteller, dass man diese Sicherheits-Patches im Rahmen des März-Patchdays am 9. März ausliefern werde.

Doch dann geschah etwas Unvorhergesehenes und bislang nicht da gewesenes: Am 27. Februar gingen die Angreifer plötzlich mit ihren Zero-Day-Attacken in die Breite. Sie scannten großflächig im Internet nach verwundbaren Systemen und griffen diese an. Dabei hielten sie sich nicht weiter mit dem Auskundschaften der Netze auf, sondern platzierten lediglich eine Hintertür auf dem Server und zogen weiter. So verschafften sie sich Zugang zu zehntausenden Exchange Servern.

Das ist deshalb ungewöhnlich, weil solche groß angelegten Aktivitäten zwangsläufig Aufmerksamkeit auf sich ziehen und den wertvollen Zero-Day-Exploit verbrennen. Den Grund für diese Änderung der Vorgehensweise kennt man nicht. Aber es liegt nahe, dass die Angreifer irgendwie mitbekommen hatten, dass ihre Aktivitäten aufgeflogen sind und ihre Exchange-Zero-Days demnächst ohnehin öffentlich werden würden. Erst diese massenhaften Angriffe im Februar waren jedenfalls der Anlass, dass Microsoft seine Pläne änderte, mit einem Gewaltakt die Exchange-Patches vorzog und in der Nacht zum 3. März außer der Reihe veröffentlichte.

Darauf reagierten die Angreifer und verschärften das Tempo erneut. Ihr Ziel war es offenbar, möglichst alle aus dem Internet erreichbaren Exchange Server zu kapern. Und da das Einspielen der Exchange-Patches keine schnell erledigte Kleinigkeit ist, kamen sie dem auch recht nahe. Allein in den USA übernahmen die Angreifer weit über hunderttausend Exchange Server und in Deutschland mehrere zehntausend. Das BSI geht davon aus, dass alle zu diesem Zeitpunkt noch nicht abgesicherten Exchange-Systeme mit der Hintertür versehen wurden.

Gemäß den Analysen von Microsoft handelt es sich bei den Angreifern mit hoher Wahrscheinlichkeit um eine staatsnahe, chinesische Gruppe, die sie als Hafnium bezeichnen. Sprich: Chinesische Cyberspionage. Über Motivation und Ziele von Hafnium ist bisher nicht viel bekannt. Dass jedoch eine APT-Gruppe unter den Augen der Öffentlichkeit hunderttausende Server mit Zero-Days unter ihre Kontrolle bringt, ohne sich um mögliche Konsequenzen zu scheren, ist ein Novum, das Böses ahnen lässt.

Was machen die jetzt mit all diesen gekaperten Servern unter ihrer Kontrolle? Ganz ehrlich? Keine Ahnung. Vielleicht horten sie die, um bei passender Gelegenheit darauf zurückzugreifen. Vielleicht verscherbeln sie die aber auch an Cybercrime-Banden, die sie dann mit Erpressung versilbern. Oder Hafniums Hinterleute betrachten die Systeme als mögliches Druckmittel für zukünftige Verhandlungen. Meine Theorie ist, dass das den Angreifern gar nicht mehr so wichtig ist. Denn das hauptsächliche Ziel der Aktion haben sie bereits erreicht.

Jedes IT-System hat Sicherheitslücken, die früher oder später auch aufgedeckt werden. Das ist mittlerweile eine Binsenweisheit. Bisher war man davon ausgegangen, dass man durch zügiges Schließen dieser Lücken die davon ausgehende Gefahr auf ein vertretbares Maß reduzieren kann. Doch Hafnium hat gezeigt, dass das im Zweifelsfall nicht funktionieren wird und man ihnen vielmehr weitgehend schutzlos ausgeliefert ist. Dieses Drohpotenzial glaubhaft zu demonstrieren, könnte das eigentliche Ziel der massenhaften Zero-Day-Angriffe sein. Da wird nicht mehr "nur" spioniert. Da lässt eine Cyber-Einheit des Militärs seine Muskeln spielen.

Der Vorfall erinnert an den SolarWinds-Eklat Ende 2020. Schon da hatten motivierte Angreifer rund 18.000 Firmen mit trojanisierten Updates kompromittiert. Noch im Februar sprach Microsoft vom "größten und raffiniertesten Angriff, den die Welt gesehen hat". Doch Hafnium ging noch einen Schritt weiter.

Die vermutlich russischen Akteure hinter der SolarWinds-Backdoor legten noch eine gewisse Zurückhaltung an den Tag und wurden nur in wenigen ausgewählten Fällen wirklich aktiv. Es war gewissermaßen eine typische Spionage-Aktion gegen ausgewählte Ziele. Die wahrscheinlich chinesische Hafnium-Gruppe zeigte keine solche Zurückhaltung mehr, sondern nahm großflächig alles unter Beschuss.

Wir sehen hier gerade einen internationalen Schwanzvergleich der Militärs im Cyberspace, der einem Angst und Bange machen kann. Was kommt als Nächstes? Amerikanische APT-Angreifer, die ganz offen die Kontrolle über das russische Stromnetz übernehmen, um zu zeigen, dass sie da mehr als mithalten können? Iraner, die zur Abschreckung ein Atomkraftwerk hochgehen lassen? Und wie beenden wir diese Spirale in den Cyberwar? Ich muss gestehen, dass ich da gerade ziemlich ratlos bin. Ich fürchte, dass es da keine rein technische Antwort gibt, sondern die Politik ran muss. Und das macht mir noch mehr Angst.

Zu den Angriffen auf Microsoft Exchange siehe auch:

(ju)