![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\")
[English]Die erste Welle des Massenhacks verwundbarer Exchange Server vor Freigabe der Patches wirft Fragen auf. Zumal der wohl benutzt Exploit-Code sehr gro\u00dfe \u00c4hnlichkeiten mit einem PoC aufwies, den Microsoft eine Woche vorher an Partner verteilt hatte. Microsoft untersucht nun, ob da irgend ein Leck oder ein U-Boot verantwortlich sein kann.<\/p>\n
<\/p>\n
Stunden sp\u00e4ter starten Massenscans, bei denen weltweit hunderttausende Exchange Server mit einer Webshell als Backdoor infiziert werden. Da kommen eigentlich jedem Beobachter Fragen, ob da alles mit rechten Dingen zugeht. Mein Redakteur J\u00fcrgen Schmidt bei heise sieht in dieser Analyse<\/a> den Punkt, wo Milit\u00e4rs wohl ihre Muskeln in Sachen Cyber-Abschreckungsspirale spielen lassen, und ihre F\u00e4higkeiten demonstrieren. Ist nicht ausgeschlossen, zumal der SolarWinds-Hack \u00e4hnliches offenbart und die USA wohl so etwas wie Gegenschl\u00e4ge planen. Aber wieso gibt es diese zeitliche N\u00e4he zu bestimmten Ereignissen.<\/p>\n Das Wallstreet Journal (WSJ) kommt jetzt mit einer Meldung<\/a>, die einerseits aufhorchen l\u00e4sst, andererseits aber zu erwarten war. Microsoft untersucht n\u00e4mlich, ob es ein Leck gab, dass beim mutma\u00dflichen chinesischen Hack der Hafnium-Gruppe eine Rolle gespielt hat. Dabei versuchen die Ermittler\u00a0 herauszufinden, wie sich der massenhafte Angriff eine Woche vor dem Software-Fix einordnen l\u00e4sst.<\/p>\n Es gibt von Microsoft seit 2008 das Microsoft Active Protections Program (Mapp) zum Informationsaustausch zwischen verschiedenen Sicherheitsfirmen. Ziel ist es, Sicherheitsunternehmen einen Vorsprung bei der Erkennung neuer Bedrohungen zu verschaffen. Mapp<\/a> umfasst etwa 80 Sicherheitsunternehmen weltweit, von denen etwa 10 in China ans\u00e4ssig sind.<\/p>\n Quellen, die mit dem Mapp-Programm vertraut sind, haben dem Wallstreet Journal nun wohl gesteckt, dass einige der Mapp-Partner am 23. Februar die Microsoft-Benachrichtigung \u00fcber die Schwachstellen in Exchange erhielt. Mit dabei war auch ein Proof-of-Concept-Code (PoC). Als am 26.\/27. Februar 2021 erste Massenscans starteten, wurde nahezu der gleiche Code f\u00fcr den Exploit auf die Exchange-Schwachstellen benutzt. Das WSJ dazu:<\/p>\n Some of the tools used in the second wave of the attack, which is believed to have begun Feb. 28, bear similarities to \"proof-of-concept\" attack code that Microsoft distributed to antivirus companies and other security partners Feb. 23, investigators at security companies say. Microsoft had planned to release its security fixes two weeks later, on March 9, but after the second wave began it pushed out the patches a week early, on March 2, according to researchers.<\/p><\/blockquote>\n Es wird dort zwar der 28. Februar 2021 genannt (ich hatte 26.\/27. Februar aufgelistet). Fakt ist aber, dass diese Massenscans das Vorziehen der Freigabe der Sicherheitsupdates vom 9. auf den 2. M\u00e4rz 2021 bewirkten. Und die \u00c4hnlichkeit des benutzten Codes wirft die Frage auf, ob da die Angreifer schlicht ihre Augen und Ohren bei einem Teilnehmer des Mapp-Programms hatten. Microsoft verweigert jeden Kommentar – speziell, ob chinesische Partner im Programm verd\u00e4chtigt werden. Bekannt ist, dass Microsoft keine Anzeichen f\u00fcr ein internes Leck gefunden hat.<\/p>\n Gizmodo schreibt hier<\/a>, dass Microsoft 2012 die Hangzhou DPTech Technologies, einen in China ans\u00e4ssigen Anbieter von Sicherheitssoftware, aus dem MAPP-Programm geworfen habe. Damals lie\u00df das Unternehmen Proof-of-Concept-Code durchsickern, der f\u00fcr einen potenziellen Cyberangriff verwendet werden k\u00f6nnte, und verstie\u00df damit gegen die Geheimhaltungsvereinbarung.<\/p>\n Aktuell lassen sich die Folgen noch \u00fcberhaupt nicht absehen. Ich hatte im Blog-Beitrag Exchange-Hack: Neue Opfer, neue Patches, neue Angriffe<\/a>\u00a0 berichtet, dass aktuell 282.900 Exchange Server per Internet erreichbar sind. Viele dieser Instanzen werden von spyse.com<\/a> aber als abgesichert aufgelistet (ohne Konto kann ich aber wenig Details sehen). Von Palo Alto Networks gibt es gut gute Nachrichten – in einer Information von Freitag Nachmittag hei\u00dft es, dass sich die Patch-Situation bei Exchange-Instanzen verbessert.<\/p>\n Die Anzahl der anf\u00e4lligen Server, auf denen alte Versionen von Exchange ausgef\u00fchrt werden, auf denen die k\u00fcrzlich ver\u00f6ffentlichten Sicherheitspatches nicht direkt angewendet werden k\u00f6nnen, ist laut Expanse-Internet-Scans vom 8. und 11. M\u00e4rz um \u00fcber 30% von gesch\u00e4tzten 125.000 auf 80.000 gesunken.<\/p><\/blockquote>\n Palo Alto Networks verwendete seine Networks Expanse-Plattform zur Datensammlung, um im Internet exponierte Server zu identifizieren, auf denen alte Versionen von Exchange ausgef\u00fchrt werden, auf denen der k\u00fcrzlich ver\u00f6ffentlichte Sicherheitspatch f\u00fcr die Zero-Day-Sicherheitsl\u00fccken nicht direkt angewendet werden kann. Matt Kraning, Chief Technology Officer von Cortex bei Palo Alto Networks sagt dazu:<\/p>\n Ich habe noch nie gesehen, dass die Sicherheitspatch-Raten f\u00fcr ein System so hoch sind, geschweige denn f\u00fcr ein System, das so weit verbreitet ist wie Microsoft Exchange. Wir fordern Unternehmen, die alle Versionen von Exchange ausf\u00fchren, dringend auf, davon auszugehen, dass sie kompromittiert wurden, bevor sie ihre Systeme gepatcht haben, da wir wissen, dass Angreifer diese Zero-Day-Sicherheitsl\u00fccken mindestens zwei Monate lang in freier Wildbahn ausnutzten, bevor Microsoft die Patches am 2. M\u00e4rz ver\u00f6ffentlichte.<\/p><\/blockquote>\n Ich habe mal in folgender Tabelle die Zahl der verwundbaren Exchange-Servern laut Palo Alto gegen\u00fcber gestellt.<\/p>\nAls Microsoft am 2.\/3. M\u00e4rz 2021 seine au\u00dferplanm\u00e4\u00dfigen Updates zum Schlie\u00dfen von vier 0-day Schwachstellen verteilte (siehe Exchange-Server 0-day-Exploits werden aktiv ausgenutzt, patchen!<\/a>), war der Drops im Grunde bereits gelutscht. Ich habe mir ja mal die M\u00fche gemacht, die zeitliche Abfolge der Schwachstellen und die der Hafnium-Gruppe zugeschriebenen Angriffe aufzuschreiben (siehe Anatomie des ProxyLogon Hafinum-Exchange Server Hacks<\/a>).<\/p>\n
\n
Gibt es ein Leck bei Microsoft?<\/h2>\n
Microsoft Active Protections Program (Mapp)<\/h3>\n
Proof of Concept von Microsoft am 23. Februar 2021<\/h3>\n
Es wird gepatcht, aber es ist zu sp\u00e4t<\/h2>\n