{"id":250909,"date":"2021-03-11T07:38:30","date_gmt":"2021-03-11T06:38:30","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=250909"},"modified":"2021-03-13T17:36:27","modified_gmt":"2021-03-13T16:36:27","slug":"anatomie-des-proxylogon-hafinum-exchange-server-hacks","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/03\/11\/anatomie-des-proxylogon-hafinum-exchange-server-hacks\/","title":{"rendered":"Anatomie des ProxyLogon Hafinum-Exchange Server Hacks"},"content":{"rendered":"

H\u00e4tte der Massenhack von Microsofts Exchange Server-Installationen \u00fcber die ProxyLogon-Schwachstelle durch die Hafnium-Hackergruppe verhindert werden k\u00f6nnen? Entgegen den Aussagen \"die Admins haben beim patchen gepennt\" gibt es einige Aspekte, die Fragen aufwerfen. Ich habe da mal ein wenig aufgeschrieben, was \"hinter dem Vorhang\" ablief. Erg\u00e4nzung:<\/strong> Microsoft hat mir geantwortet, so dass es einige logische Erkl\u00e4rungen auf manche Fragen aus dem Artikel gibt.<\/p>\n

<\/p>\n

Kleiner R\u00fcckblick<\/h2>\n

\"\"Zum 3. M\u00e4rz 2021 (2.3. in den USA) ver\u00f6ffentlichte Microsoft ja einen au\u00dferplanm\u00e4\u00dfigen Patch f\u00fcr Microsoft Exchange Server (2010 bis 2019), um vier 0-Day-Schwachstellen zu schlie\u00dfen. Gleichzeitig gab es eine Warnung, nun zeitnah zu patchen, da vereinzelte Angriffe auf ausgesuchte Ziele bemerkt worden seien. Ich hatte im Blog-Beitrag Exchange-Server 0-day-Exploits werden aktiv ausgenutzt, patchen!<\/a> dar\u00fcber berichtet. Zu diesem Zeitpunkt klang das nicht wirklich dramatisch, sondern ok, haltet euch mit dem Patchen ran, dann l\u00e4uft es.<\/p>\n

Zwei Tage sp\u00e4ter wurde klar, dass es einen Massenhack auf ungepatchte Exchange Server durch die mutma\u00dflich chinesische Hafnium-Hackergruppe gab. Ich hatte hier im Blog ja zeitnah Hinweise des BSI sowie Informationen zum Thema gepostet (siehe Links am Artikelende). Dieser Massenhack schickt momentan ja Schockwellen durch das Microsoft Universum. Viele Administratoren und auch Microsoft scheinen auf dem falschen Fu\u00df erwischt worden zu sein. Noch scheint das Ende der Fahnenstange nicht erreicht.<\/p>\n

Hinter den Vorhang geblickt<\/h2>\n

In Foren habe ich jetzt h\u00e4ufiger den Kommentar \"selbst schuld, wenn ihr Administratoren nicht fix patcht\" gelesen – schimmerte auch hier im Blog in Kommentaren durch. Ich hatte teilweise auch kurz geantwortet – aber jetzt mal ein erg\u00e4nzender kleiner Informationssplitter f\u00fcr Leute mit etwas Lesezeit. Von heise bin ich gebeten worden, ob ich nicht mal was zum Ablauf der Geschichte schreiben k\u00f6nne.<\/p>\n

Im Beitrag Der Hafnium Exchange-Server-Hack: Anatomie einer Katastrophe<\/a> habe ich mal den zeitlichen Ablauf sowie die Schwierigkeiten der patchenden Administratoren beleuchtet. Ist zwar nicht ganz mein Rohtext, der in die Redaktion rein ging, aber das Ergebnis spiegelt die zu transportierenden Botschaften. Der Hack war absehbar, denn Microsoft gibt zwar seit Exchange Server 2013 viertelj\u00e4hrlich kumulative Updates zum Abdichten von Sicherheitsl\u00fccken heraus. Aber Exchange Server gelten (nach meiner Wahrnehmung) aber im Hinblick auf Patches unter Administratoren als \"rohes Ei\".<\/p>\n

Die Installation der kumulativen Exchange-Update (CUs) ist sperrig, es kann nur das letzte kumulative Update mit Updates versorgt werden – und allzu h\u00e4ufig kam es in der Vergangenheit zu Problemen und Fehlfunktionen im Zusammenhang mit Updates. Im aktuellen Fall hat Microsoft erst im Nachhinein Patches f\u00fcr \u00e4ltere CUs freigegeben – und auch der im Blog-Beitrag Wichtige Hinweise Microsofts und des BSI zum Exchange-Server Sicherheitsupdate (M\u00e4rz 2021)<\/a> thematisierte Patch-Hinweis Microsofts kam nach meiner Beobachtung erst im Nachgang. Einige Admins waren da schon in die Falle gerauscht (siehe Exchange-Probleme mit ECP\/OWA-Suche nach Sicherheitsupdate (M\u00e4rz 2021)<\/a>).<\/p>\n

Die Rolle Microsofts<\/h2>\n

Schaue ich mit \u00e4ltere Blog-Beitr\u00e4ge wie BSI-Warnung: Im Okt. 2020 noch 40.000 ungepatchte Exchange-Server in Betrieb<\/a> an, war hier klar, irgendwann knallt es, die Frage ich nicht ob, sondern wann. Das ist jetzt passiert – und in diesem Kontext ist interessant, die Anatomie der Sicherheitsl\u00fccken und des Patch-Rollouts anzusehen. Es war mal kurz hier im Blog als Kommentar angerissen und ich hatte was im Beitrag Exchange-Hack: Neue Patches und neue Erkenntnisse<\/a> geschrieben.<\/p>\n

Aber erst \u00fcber die Recherche f\u00fcr meinen, die Nacht erschienenen, heise-Beitrag Der Hafnium Exchange-Server-Hack: Anatomie einer Katastrophe<\/a> wurde mir klar, dass zumindest ein fauler Apfel bei Microsoft im Korb liegt. Man kann dar\u00fcber streiten, ob Microsoft (auch angesichts Corona) nicht schneller reagieren konnte oder h\u00e4tte m\u00fcssen. Aber f\u00fcr mich stellen sich Fragen \u00fcber Fragen:<\/p>\n