Hier noch ein Nachtrag zu zwei Sicherheitsvorfällen von Hostern von Virtualisierungsumgebungen. Die Störung beim Münchner RZ Mivite scheint auf einen Angriff auf deren Virtualisierungs-Infrastruktur zurück zu gehen, bei dem die Instanzen verschlüsselt wurden. Auch bei United Hoster ist die Infrastruktur seit vorigen Samstag down – ein Ransomware-Angriff habe die Virtualisierungsinfrastruktur verschlüsselt heißt es.
Anzeige
Sicherheitsvorfall bei Mivitec
Ich hatte bereits im Blog-Beitrag Cybervorfall bei abe-brand.de; Störung bei dsbmobile.de; Schwachstelle bei Abus Sicherheitskamera; Android-Geräte mit Trojaner über eine Störung bei dsbmobilde.de berichtet. Diese Störung geht auf einen Sicherheitsvorfall beim Münchener Rechenzentrumsbetreiber Mivitec zurück, die seit 2021 zu myLoc gehören. Im Blog-Beitrag hatte ich die Meldung des Betreibers, dass es eine "Teilstörung der VMWare Cloud in München" gäbe, erwähnt. Deren Webseite mivitec.de ist derzeit nicht erreichbar und meldet einen Host-Error.
Aus einer ungenannt bleiben wollenden Quelle weiß ich, dass die gesamten Dienste des Betreibers down seien und die IT-Leute die Server neu aufsetzen. Vermutet wird, dass nicht nur eine "Teilstörung", sondern die gesamte VMware Cloud-Infrastruktur betroffen ist. Wegen der "Server neu aufsetzen" ist möglicherweise etwas infiziert/verschlüsselt worden, was tiefergreifend ist und es scheint wohl auch die Backups zu tangieren. Ob Kunden jemals an ihre VMware-Instanzen und Daten herankommen, ist unklar – das ist wohl ein Sicherheits-GAU.
Sicherheitsvorfall bei United Hoster
Beim Hoster United-Hoster.de kam es ebenfalls zu einem Sicherheitsvorfall. Deren Hosted-Exchange Server sind seit Samstag 20.05.2023 nicht erreichbar, wie ein Leser in diesem Kommentar meldet (danke dafür). Einige Details gibt es auf Twitter und einer zitierten Antwort aus einem Ticket. Es heißt u.a.: "Sollten Sie MS Outlook verwenden, lassen Sie dort bitte sämtliche Nachrichten unverändert."
Anzeige
In einem weiteren Tweet vom 23. Mai 2023 spiegelt ein Nutzer wohl eine Information wieder, die er vom Hoster erhalten hat:
Neuste Info für alle: wie Sie bereits festgestellt haben, steht Ihr Exchange Dienst derzeit nicht zur Verfügung.
Leider müssen wir Ihnen mitteilen, dass ein Sicherheitsvorfall eingetreten ist, welchen wir bereits der Datenschutzbehörde sowie den Polizeibehörden gemeldet haben.
Wir möchten Sie bitten von Anrufen auf unserer Support-Hotline abzusehen. Über neue Entwicklungen und das weitere Vorgehen werden wir Sie zeitnah aktiv informieren! Sollten Sie eine alternative E-Mailadresse besitzen, über die wir Sie über das weitere Vorgehen informieren sollen, so teilen Sie uns diese bitte als Antwort auf diese Nachricht mit.
Sollten Sie MS Outlook verwenden, lassen Sie dort bitte sämtliche Nachrichten unverändert.
Ein weitere Leser bestätigt, dass der Hoster gehackt wurde. Es seien die Hosted Exchange Server betroffen und komplett mit einem neuartigen unbekannten Algorithmus verschlüsselt worden. Der Leser schreibt:
Daten sind nach jetzigem Stand keine abgegriffen worden. Es wird eine neue Exchange Umgebung aufgebaut und für die Kunden eine Notlösung via Webmail eingerichtet. Man solle mit Outlook einen Export in eine pst Datei als Backup wegspeichern welche dann später wieder importiert werden kann.
Die Kollegen von heise haben bei united hoster nachgefragt und berichten hier von einer Ransomware-Attacke. Ein Unternehmenssprecher wird mit folgender Aussage zitiert: "Im Rahmen einer internen Untersuchung wurde festgestellt, dass ein Angreifer eine unbekannte Schwachstelle in Microsoft Exchange ausgenutzt hat, um Zugriff auf den Exchange Server zu erlangen." Muss ich einfach so im Raum stehen lassen.
In einem weiteren Zitat des Unternehmenssprechers heißt es "gemäß unseren Analysen sowie unserer permanenten Überwachung gibt es, nach aktuellem Kenntnisstand, keinen Hinweis auf Datenabfluss". Lösegeldforderungen lägen nicht vor, heißt es, eine Meldung über den Datenschutzvorfall und eine Strafanzeige erfolgten.
Die Kollegen von heise schreiben, dass der Hoster aktuell eine "Alternative Exchange-Lösung" aufbaue und dass der Hoster seine Kunden informiert habe. Dem gegenüber stehen Kommentare von Betroffenen, die erst durch den heise-Beitrag erfuhren, was genau los ist. Und es gibt die Aussage eines Nutzers, der folgendes aus einer Supportantwort zitiert: "….Stand jetzt können die Daten des bisherigen Exchange Dienstes nicht wiederhergestellt werden…".
Anzeige
Finde ich schon zwei sehr krasse Fälle, wo man sieht, dass, wenn die Umgebung eines Cloudproviders gehakt wird, alle Kunden davon betroffen sind.
Die wohl einzige Empfehlung bei UH, man solle die Mails als PST aus Outlook exportieren, greift wohl nur für die Mails die Outlook lokal zwischengespeichert hat.
"Was für ein Brett", wenn ich die Wortwahl von Herrn Born übernehmen darf.
Oder ich interpretiere dies falsch und der Mailzugriff ist via Webmail möglich auf bestehende Mails, sodass hier von eine Kopie gesichert werden kann. Dagegen sprich aber wieder, dass Outlook mehr braucht (Active Sync, POP, IMAP) als nur den Zugriff auf die Mails via Webbrowser, um eine PST erstellen zu können nach der Synchronisation…
Wir sind zwar nicht bei einem solchen Provider, aber jeder kann sich ausmalen, welche Kosten Unternehmen haben, wenn gewisse Arbeitsmittel (hier die Mail) nicht zu Verfügung stehen oder sogar Daten verloren gegangen sind.
EDIT: UH wirbt mit dem Anbieter Acronis (Produkt Acronis Cyber Protect -> https://www.united-hoster.de/hosting/sicherheit/acronis-cyber-protect.html ) gegen Ausfallzeiten und Datenverlust. Ich bin gespannt, ob das nur leere Worte sind die auf der jeweiligen Produktseite stehen oder ob UH auf seine eigenen Produkte zurückgreifen kann um Herr der Lage zu werden. Die beworbenen Worte "Anti-Ausfallzeit" und "Anti-Datenverlust/Anti-Ransomware) haben sich ja jetzt nicht bewahrheitet…
EDIT 2:
"United Hoster baue derzeit eine neue Microsoft-Exchange-Umgebung"
vs
"Im Rahmen einer internen Untersuchung wurde festgestellt, dass ein Angreifer eine unbekannte Schwachstelle in Microsoft Exchange ausgenutzt hat"
Solange man nicht weiß, welche unbekannte Exchange-Schwachstelle genutzt wurde für den Einfall, kann man doch das aufsetzen einer neuen Exchange-Umgebung gleich ganz sein lassen… oder UH weiß es und hat nur geschlampt eine (bekannte) Schwachstelle zeitnah zu schließen…
Gruß Jonas
Die werden alle Daten verloren haben.
Mit der Webmail bieten sie Ihren Kunden einen Notweg damit diese überhaupt per Email erreichbar sind.
Die Backups der Postfächer sind ja wohl auch unbrauchbar.
Der Kunde würde also vor einem leeren Webmail Zugang stehen.
Andererseits ist in Deutschland jede Firma verpflichtet geschäftsrelevanten E-Mail Verkehr für die Steuerfahnder 10 Jahre zu sichern…
D.h. der Kunde könnte vielleicht aus diesen Daten psts basteln und in die provisorische Webmail einspielen? Wahrscheinlich wird dieses Email Archiv aber auch betroffen sein.
Wahrscheinlicher ist daher, das man hofft das die Mitarbeiter die Emails "lokal" gemacht haben um auch über eine dünne Hotel Leitung ode offline arbeiten zu können und die diese Lokalen Kopie per Export zurückspielen können.
Das ist natürlich nur meine Spekulation/Erklärung.
Gestern wurde es offiziell bestätigt das die Daten einschließlich Backups nicht wiederherstellbar sind. Somit werden die sich wohl nicht selbst geschützt haben mit ihrem Acronis Cyber Protect. Auszug aus der Infomail vom 06.06.2023
"Betroffen von diesem Angriff waren ebenso die Offline-Backups, die in diesem Zeitraum gesichert werden."
"Nach derzeitigem Stand und nach Abstimmung mit den Polizeibehörden und den zusammenarbeitenden Behörden für Forensik existiert derzeit leider keine Möglichkeit, eine Entschlüsselung der E-Mail-Daten durchführen zu können."
Ich frage mich ob das alles so stimmt. Da die Daten Eigentum des Kunden sind sollte es doch möglich sein sich diese aushändigen zu lassen um ggfs eigene Forschungen anstellen zu können ?
"Im Rahmen einer internen Untersuchung wurde festgestellt, dass ein Angreifer eine unbekannte Schwachstelle in Microsoft Exchange ausgenutzt hat, um Zugriff auf den Exchange Server zu erlangen." Muss ich einfach so im Raum stehen lassen.
Um die Aussage treffen zu können ob die Schwachstelle unbekannt ist muss man doch wissen wo ungefähr das Problem lag? Wäre mal interessant zu wissen was dort in Erfahrung gebracht wurde. Demzufolge wurde es hoffentlich an Microsoft gemeldet, man kann ja mal bei Microsoft nachfragen…. Edit: Ansonsten wie Jonas92 schon sagte. Man geht von einer unbekannten Schwachstelle in Exchange aus und setzt das System neu auf?
Ansonsten wäre es doch schon für Microsoft geschäftsschädigend wenn man einfach behauptet es wäre eine unbekannte Schwachstelle in Microsoft Exchange
Unbekannte Schwachstelle ist eine zu vage Aussage. Für wen unbekannt?
Und wenn sie unbekannt ist, dann ist es sicher nicht United Hoster, die wissen, wie man sich dagegen schützt.
Entweder ist es ein Zero Day Exploit aber dann würden viel mehr Installationen betroffen sein oder es ist keiner und man sollte sich besser Kompetenzen als Ausreden einkaufen.
The Inside Story Behind MS08-067 (aus 2015)
Dieser ältere Artikel vermittelt einen Eindruck, was bei Microsoft passiert, wenn Zero Day Exploits die Bühne betreten. Insbesondere das Katz- und Mausspiel zwischen Angreifer und der Microsoft Telemetrie ist spannend zu lesen.
Zu: "Unbekannte Schwachstelle ist eine zu vage Aussage. Für wen unbekannt?" finde ich irgendwie süß! Ausriss aus meinem Artikel "Ein Unternehmenssprecher wird mit folgender Aussage […]. Muss ich einfach so im Raum stehen lassen.".
Es ist eine Aussage des Unternehmens, die mangels Information von mir weder zurückgewiesen noch bestätigt werden kann.
Kunden könnten beim Hoster nachhaken – der Rest müsste sich gedulden, ob der Hoster noch Details veröffentlicht. Alles andere ist imho Spekulation – und nein, mir liegen noch keine internen Informationen, die vielleicht durchgesteckt wurden, was genau passiert ist, vor ;-).
Laut UH im Bereich "Serverstatus" wird im Bereich Hosted Exchange "Exchange 2016" genannt. Der 2016er ist nicht mehr im Mainstreamsupport, sondern bereits im erweiterten Support. Ist okay, aber lasse ich trotzdem mal so stehen und kann sich jeder seinen Teil zu denken.
Mit Vorsicht zu genießen, da ich dies auch nur gelesen habe / auch ein Hoax sein kann?! –>
Ansonsten habe ich im heise Bericht in den Benutzerkommentaren gelesen, das im Jahresabschlussbericht von UH die Mitarbeiteranzahl bei 3 (ja, drei!) Personen liegt.
3 Personen???? Alter, wenn das stimmt (auch wenn es 5,6 oder 10 sein sollten), wäre
das ja wieder eine krasse Information.
Sofern der Jahresabschlussbericht / ( Mitarbeiteranzahl ist eine Premiumfunktion) bei Northdata steht, hat wer einen Premiumaccount dort und kann die dort angegebene Mitarbeiteranzahl bestätigen, sofern diese Information dort entnommen worden ist?
Natürlich können sie sehen daß ein Dritter Zugriff auf den Exchange Server bekommen hat ohne zu wissen auf welchem Weg und wann das passiert ist.
Was sollen sie denn in ihrer Hilflosigkeit anderes tun, als alle Rechner verschrotten, neu kaufen, und neu aufsetzen? Der Untermieter hat ja alle Firmwares infiziert haben können.
Sie wissen ja nicht mal wann der Einbruch erfolgt war. Letzte Woche? Letztes Jahr?
Das kann ja über eine inzwischen längst gepatchte Lücke erfolgt sein.
Aber sie wissen auch nicht was der Besucher so alles hinterlassen hat. Also alles neu.
Wie geht's eigentlich Bitmarck und den deutschen Betriebskrankenkassen?
Oh, die sind immer noch am Schrauben…
Mittlerweile gibt es auch den Link auf der UH Seite zu Ihrem Hosted Exchange nicht mehr. !! Was das wohl zu bedeuten hat ? Sicher nichts Gutes für die Kunden.
https://www.united-hoster.de/hosting/e-mail/hosted-exchange.html
Da wurde u.a damit geworben das die Daten sicher seien und Backups gemacht werden.
Hallo Herr Born,
Nachtrag zu meinem Post von gerade eben, ein Link zur WaybackMaschine (falls nicht gewünscht löschen)
http://web.archive.org/web/20221201231710/https://www.united-hoster.de/hosting/e-mail/hosted-exchange.html
Hier wurde noch so damit geworben :
Exzellenter Schutz vor Viren & Spam
Die Sicherheit und der Schutz Ihrer Daten stehen bei uns an erster Stelle. Daher ist Exchange Protection in all unseren Tarifen inklusive und bieten Ihnen den höchstmöglichen Schutz vor Spam, Viren und Schadsoftware. Zudem werden die Daten Ihrer Exchange Postfächer durch automatisierte Backups gesichert.
MFG
Man muss da sehr genau lesen, "Exzellenter Schutz vor Viren & Spam" gilt wohl eingehenden E-Mails durch die Exchange Protection,- aber nicht dem Schutz des eigentlichen Mailserversystems. Dieses wird (oder sollte) nämlich gesondert geschützt (werden),- oder auch nicht.
Aber UH wirbt ja mit automatisierten Backups der Postfächer. Deshalb sollte doch deren IT ganz beruhigt den mobilen Datensicherungsträger aus der Aktentasche holen und den Kunden mitteilen können, "keine Sorge Leute, dank unserer 3-2-1 Backupregel sind alle Mails noch da, es braucht nur ein wenig Zeit diese zurückzuspielen." Oder ist die Aktentasche aktuell nicht auffindbar? ;)
Für die Datensicherung ist man immer noch selbst zuständig, und zwar möglichst mehrere und mit unterschiedlichen Technologien. Gerade Exchange Online bietet die Möglichkeit, die vollständigen (!) Exchange-Postfächer auf mehreren Clients im Offline Cache zu halten, aus dem man in der Tat komplett offline auch eine .PST erstellen kann.
Zusätzlich kann man sämtliche Postfächer turnusmäßig via Cloud exportieren und herunterladen lassen. Bzw. man nutzt die mit +-Modellen sogar kostenlose Enterprise-Technologie von Active Backup for Microsoft 365 von Synology, was z. B. auch eine tägliche Komplettsicherung ALLER Postfächer und mehr z. B. für 720 Tage vorhält, dank Deduplizierung mit nur minimalem lokalem Platzbedarf. https://www.synology.com/en-global/company/case_study/Tampere
Man muss sich einfach nur ein wenig um seine Daten kümmern und/oder professionelle Berater/Dienstleister beauftragen…
Auch für einen HostedExchange Server gelten die selben Regeln wie im eigenen RZ. Sprich AD FS + WAP + WAF ist Pflicht. Dann sind nämlich viele Angriffsvektoren minimiert bzw. greifen erst erst einmal nicht.
Der einzige Webhoster im Bereich Privatkunden der die Best Practices von Microsoft in dem Bereich HostedExchange umsetzt ist OVH. Kaum zu glauben…
"unbekannte Sicherheitslücke" bedeutet nicht anderes, als dass die ITler dort keinen Plan haben, was schief gegangen ist, weil sie die eigenen Systeme nicht überblicken und überfordert sind. Da freut man sich als Kunde doch…