[English]Die Europäische Bankenaufsichtsbehörde ist Opfer eines Cyber-Angriffs geworden. Deren Exchange-Server wurden über die Anfang März 2021 gepatchten Schwachstellen kompromittiert. Hier einige Informationen, was ich bisher weiß.
Anzeige
Ihr seid mit eurem Exchange-Server von der Hafnium-Gruppe über die am 2. März 2021 geschlossenen 0-Day-Exploits gehackt worden? Tröstet euch, das geht auch illustreren Anwendern der allgegenwärtigen Microsoft-Software so. Gerade habe ich die Information bekommen, dass die Europäische Bankenaufsichtsbehörde unter den Opfern sei.
Ich monitore den Twitter-Account von Bank Security und schaue da immer rein, wenn ich mich gruseln will. So in der Art "von welcher Bank werden von Hackern gerade die RDP-Zugangsdaten für deren Netzwerk angeboten". Ist täglich was dabei, wenn ich das auch nicht im Blog thematisiere. Heute habe ich aber bei obigem Tweet, der noch ganz frisch und an beiden Enden blutend ist, aufgemerkt. Denn die Information passt ins aktuelle Beuteschema als Blogger, kommen doch Bank und Exchange-Hack drin vor. Auf dieser Webseite hat die EBA (European Banking Authority) zum 7. März 2021 den Hack bekannt gegeben.
Cyber-attack on the European Banking Authority
The European Banking Authority (EBA) has been the subject of a cyber-attack against its Microsoft Exchange Servers, which is affecting many organisations worldwide. The Agency has swiftly launched a full investigation, in close cooperation with its ICT provider, a team of forensic experts and other relevant entities.
As the vulnerability is related to the EBA's email servers, access to personal data through emails held on that servers may have been obtained by the attacker. The EBA is working to identify what, if any, data was accessed. Where appropriate, the EBA will provide information on measures that data subjects might take to mitigate possible adverse effects.
As a precautionary measure, the EBA has decided to take its email systems offline. Further information will be made available in due course.
Die Meldung ist etwas dünn, was Fakten betrifft, aber die relevanten Details liegen vor. Die Microsoft Exchange Server sind gehackt worden (geht ja vielen Betreibern weltweit so). Es hat die E-Mail-Server, die über Exchange abgewickelt werden, getroffen – man geht davon aus, dass die Angreifer (mutmaßlich staatsnahe chinesische Hacker der Hafnium-Gruppe) Zugriff auf die E-Mails hatten. Es wurde eine Untersuchung gestartet, um herauszufinden, wie lange dieser Hack bereits läuft. Als Vorsichtsmaßnahme wurde das E-Mail-System der EBA abgeschaltet.
Anzeige
Zum Hintergrund der EBA
Die Europäische Bankenaufsichtsbehörde EBA (European Banking Authority) ist eine sonstige Stelle der Europäischen Union mit Sitz in Paris, die auf der Grundlage der Verordnung (EU) Nr. 1093/2010 vom 24. November 2010[1] errichtet wurde, deren Aufgabe die Finanzmarktaufsicht ist und die zum 1. Januar 2011 aus dem Ausschuss der Europäischen Aufsichtsbehörden für das Bankwesen (CEBS, englisch Committee of European Banking Supervisors) hervorging. Sie ist Bestandteil des Europäischen Finanzaufsichtssystems (ESFS, englisch European System of Financial Supervision).
Der Angriff auf Exchange Server
Ich hatte es im Blog-Beitrag Neues zum Exchange-Hack – Testtools von Microsoft & Co. angesprochen. Hacker der mutmaßlich staatsnahen chinesischen Hackergruppe Hafnium haben monatelang diverse Schwachstellen (siehe Exchange-Server 0-day-Exploits werden aktiv ausgenutzt, patchen!) in On-Premise Exchange Servern zum Eindringen benutzt.
Zum Schließen der Schwachstellen wurden erst seit dem 2. März 2021 Sicherheitsupdates von Microsoft bereitgestellt (obwohl die Schwachstellen bereits am 20. Dezember 2020 an Microsoft gemeldet wurden). Seit dem 2. März 2021 läuft weltweit eine riesige Angriffskampagne, bei der wohl 170.000 Exchange Server (aktuell, 12.3., sind es fast 300.000), die per Internet erreichbar sind, mit hoher Wahrscheinlichkeit kompromittiert wurden. Ich hatte in diversen Blog-Beiträgen darüber berichtet (siehe Artikelende). Wird nicht das einzige prominente Opfer bleiben.
Ähnliche Artikel:
Exchange-Server 0-day-Exploits werden aktiv ausgenutzt, patchen!
Wichtige Hinweise Microsofts und des BSI zum Exchange-Server Sicherheitsupdate (März 2021)
Exchange-Probleme mit ECP/OWA-Suche nach Sicherheitsupdate (März 2021)
Neues zum Exchange-Hack – Testtools von Microsoft & Co.
Microsoft MSERT hilft bei Exchange-Server-Scans
Anzeige
Boah, das ist natürlich bitter. Denn wenn so ein prominentes Haus gehackt wurde, haben die sich von den Exchange-Servern sicher schon weiter reingehackt. Denn dort gibt es wirklich sicherheitsrelevante Informationen zu holen, und das meine ich mal außerhalb der IT.
Langsam frage ich mich, welcher Hack war schlimmer, der in Solarwinds, oder der hier?
Was lernen wir daraus, erst den Patch bringen und dann Details darüber veröffentlichen.
Das die große Angriffskampagne zeitgleich mit dem Update gestartet ist lässt eigentlich nur den Schluss zu das die Kampagne schon vorbereitet war und dann aufgrund des Updates hastig raus gehauen wurde bevor die Türen verschlossen sind.
Denn eigentlich ist hier ein viel zu großer medialer Wirbel aufgekommen, daher komme ich zu Schluss das auf den wirklich interessanten System die Kompromittierung schon vorher stattgefunden hat und man jetzt noch so viele kleinere Systeme abgreifen will wie möglich, evtl. auch um abzulenken von den großen Zielen.
Interessante Frage ist also, welche Systeme waren schon vor dem 02.03. betroffen?
was hilft der patch am 2.3. wenn seit 6.1. schon gewildert wird und microsoft dann noch vom 12.2. bis zum 2.3. irgendwelche tests macht.
aber vielleicht lernen die menschen mal, dass nicht alles so toll ist aus redmond. und auch wenn ms meint owa ist super das kann man einfach mal so im internet betreiben. dann ist dem eben nicht so der fall. wärs ja nur ein einfacher application server, wärs ja auch erstmal nicht so tragisch. blöd halt, dass der exchange tief im ad sitzt, dann auch noch dementsprechend rechte aufs ad braucht um zu funktionieren. und wenn der denn geknackt wurde, na dann ist bei vielen auch die komplette interne domain gefallen.
langsam aber sicher sollt man dann doch mal drauf gekommen sein, dass it und security dementsprechend kostet und nicht jeder mausschubser mal schnell ein firmennetzwerk betreuen kann.
Vielleicht lernen die Leute dann auch mal, dass Opensource auch nicht so toll ist, wenn z.B. entdeckt wird, dass openssl (Heartbleed) oder neulich sudo rund 10 Jahre eine ungepatchte Sicherheitslücke hatte, ohne dass das jemand – trotz OpenSource – gemerkt hat?
Und nur weil man mal ne Ubuntu -DVD auf einem PC installiert hat, ist man auch noch lange kein Linux-Spezialist.
auch opensource ist nicht so toll. im mailbereich erinnere ich mich heute noch an die grössten katastrophen mit sendmail.
man sollte immer alles kritisch hinterfragen. und es ist nun mal keine gute idee ohne vpn den exchange server aussen erreichbar zu machen.
da gab es ja in der vergangenheit schon einige lücken. blöd halt nur das bei der jetzigen fast ein quartal drauf ging bis sie gefixed wurde.
wobei was wissen wir schon, vielleicht haben die chinesen bereits andere lücken gefunden, die sie nun bearbeiten. und in 1-3 monaten hören wir dann vom nächsten zeroday in exchange.
wirklich sicher ist man ja nicht. aber wenn der exchange erstmal nicht direkt im internet erreichbar ist für jedermann, hat man schon einiges an sicherheit gewonnen.
Klar wurde die Lücke schon ausgenutzt, aber der schlafende Tiger wurde mit dem Patch geweckt und hat die Sache verschlimmert. Hätte MS den Patch erstmal nur veröffentlicht ohne Details, wären evtl. die Angriffskampagne noch nicht gestartet und der ein oder andere Server hätte den Patch gehabt.
Wir lernen daraus das man Systeme die ins lokale Netz gehören (und da gehört ein Exchange Server aufgrund seiner AD Integration für mich hin), eben nicht einfach von aussen zugreifbar machen sollte, oder gar in die Cloud stellen sollte.
Nur weil es technisch möglich ist, ist es noch lange keine gute Idee es auch zu machen.
Solche Lücken können natürlich auch von innen ausgenutzt werden, aber dann ist der Angreifer eh schon im Netzwerk drin.
Und Open Source hin oder her, ich denke das die Geheimdienste auch für diese Bereiche genügend Zero-Days rumliegen haben und wie sich zeigt, selbst welche die schon Jahrzehnte lang im Code schlummern.
Welche Details hat MS denn veröffentlicht? Gibts bei MS ein Powershellscript, mit dem jedes Kiddi einen Exchange-Server hacken kann? Nach meiner Info hat MS lediglich veröffentlich, dass es da Probleme gibt, und dass man mit zur Verfügung stehenden Patches updaten soll.
Ist da nicht mal irgendeiner auf die Idee gekommen, das Webinterface *NICHT* per HTTP(S) ins Internet zu veröffentlichen. Klar, ist bequemer für die Nutzer. Kann man aber auch nur per VPN erreichbar machen, so dass dann schon VPN-Nutzer wissentlich (oder wegen kompromittierter Endgeräte) für den Datenabfluss sorgen müssten.
Die Idde ist nicht neu, gibt auch Umgebungen, wo Citrix Netscaler-Gateways OWA absichern. Ok, ja, ist auch hackbar, aber das trifft auch auf so manche VPB-Lösung zu, erinnert sich noch jemand an fast 10 Jahre Sicerheitslücke im achsosischeren Open-Source OpenVPN, und das trotz dass jeder den Quellcode lesen kann? Ich glaube, 2018 wurde so ein Fall das letzte Mal entdeckt, kann aber jeerzeit wieder passieren…
Interessanterweise fordert das BSI genau diese Absicherung via VPN in Ihrem IT-Grundschutz:
> Absicherung eingehender Kommunikation vom Internet in das interne Netz
>
> Ein IP-basierter Zugriff auf das interne Netz MUSS über einen sicheren
> Kommunikationskanal erfolgen. Der Zugriff MUSS auf vertrauenswürdige IT-
> Systeme und Benutzer beschränkt werden (siehe NET.3.3 VPN).
Und gesteht dann wohl ein, dass nicht einmal unsere Bundesbehörden sich daran halten. Zitat aus der aktuellen Cybersicherheitswarnung (Update 5):
> Dem BSI liegen inzwischen Hinweise zu sechs betroffenen Bundesbehörden
> vor. Dabei ist es in vier Fällen zu einer möglichen Kompromittierung
> gekommen.
Und dazu gibt es noch einmal eine schriftliche "Watschn" für die IT-Verantwortlichen im selben Dokument:
> Die Notwendigkeit der Erreichbarkeit von internen Diensten aus dem
> Internet, wie hier durch Exchange bereitgestellt, sollte unter
> Berücksichtigung des BSI IT-Grundschutzes (insbesondere NET.1.1
> Netzarchitektur und -design – A11, NET.3.3 VPN) kritisch geprüft werden
>[BSI2021]. Da Exchange-Server immer wieder von kritischen Schwachstellen
> betroffen sind, die häufig – wie auch in diesem Fall – direkt über einen
> Fernzugriff aus dem Internet ausgenutzt werden können, besteht hierin
> eine besondere Wichtigkeit.
Wie soll man ohne eigene Mitarbeiter im Haus schon dezentralen Support erhalten? Aus der Ferne ist alles so schön billig und praktisch…
Risikosparen nennt man sowas :) .
Ne "Watschn" tut ja keinem weh
Das Problem an den BSI-Vorgaben ist ja, dass sie zwar so sicher wie möglich machen, aber damit die Usability ziemlich einschränken. Ein OWA was nur per VPN/Netscaler/… erreichbar ist, kann nicht benutzt werden, um Mails per Smartphone abzurufen. Ein nach BSI abgesichertes Office 365 verweigert die Zusammenarbeit zwischen Outlook, Sharepoint, Teams, entsprechend übermittelte Dateien werden beim Doppelklick aus diesen Programmen/Seiten schlicht nicht geöffnet. Selbst Datenbankabfragen aus Excel heraus werden blockiert, Ecxcel-Tabellen können keine Werte aus anderen Exceltabellen auslesen, Exceltabellen können weder in Word oder Powerpoint interaktiv eingebunden werden, usw. Ältere lokal gespeicherte Office-Formate werden nicht mehr gelesen. Aus einem Office 365, was sich ja durch Live-Kooperation zwischen den Nutzern von seinen Vorgängern unterscheided, wird funktional quasi wieder ein Office 97. Wenn man das so absichert, laufen sämtliche Abteilungen Sturm, wenn nicht sogar Amok.