![\"Sicherheit](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" "\\"Sicherheit")
In Gro\u00dfbritannien ist es wohl unbekannten Angreifern bereits 2022 gelungen, in das IT-System, in dem die W\u00e4hlerlisten gespeichert sind, einzudringen. Der Vorfall, bei dem bis zu 40 Millionen Nutzerdaten abgezogen worden sein k\u00f6nnten, ist erst jetzt bekannt geworden. Und nun gibt es Hinweise, dass der Hack wohl \u00fcber die ProxyNotShell 0-day-Schwachstelle in Exchange erfolgen konnte. Die Schwachstelle war nicht zeitnah gepatcht worden.<\/p>\n
<\/p>\n
Der Vorfall wurde im Oktober 2022 festgestellt, nachdem verd\u00e4chtige Aktivit\u00e4ten auf den Systemen entdeckt worden waren. Es wurde klar, dass feindliche Akteure erstmals im August 2021 auf die Systeme zugegriffen hatten.<\/p>\n W\u00e4hrend des Cyberangriffs hatten die T\u00e4ter Zugang zu den Servern der Kommission, auf denen E-Mails, die Kontrollsysteme und Kopien der W\u00e4hlerverzeichnisse gespeichert waren.<\/p>\n Die Angreifer konnten auf Referenzkopien der W\u00e4hlerverzeichnisse zugreifen, die von der Kommission zu Forschungszwecken und zur \u00dcberpr\u00fcfung der Zul\u00e4ssigkeit von politischen Spenden aufbewahrt werden. <\/p>\n Die zum Zeitpunkt des Cyberangriffs gef\u00fchrten Register enthalten den Namen und die Adresse aller Personen im Vereinigten K\u00f6nigreich, die sich zwischen 2014 und 2022 als W\u00e4hler registriert haben, sowie die Namen derjenigen, die als W\u00e4hler aus dem Ausland registriert sind. Die Register enthielten keine Angaben zu den anonym registrierten W\u00e4hlern. Auch das E-Mail-System der Kommission war w\u00e4hrend des Angriffs zug\u00e4nglich.<\/p>\n<\/blockquote>\n Also ein fetter Datenschutzvorfall, von dem bis zu 40 Millionen Personen betroffen sein k\u00f6nnen – heise hat hier<\/a> noch einige Hinweise dazu ver\u00f6ffentlicht.<\/p>\n Die Frage ist aber, wie die Angreifer in das System gelangen konnten? Sicherheitsforscher Kevin Beaumont hat im Artikel UK Electoral Commission had an unpatched Microsoft Exchange Server vulnerability<\/a> den wahrscheinlichen Angriffsvektor beschrieben. Die britische Wahlkommission betrieb einen Microsoft Exchange Server mit Outlook Web App (OWA) unter der IP-Adresse 167.98.206.41, wie TechCrunch herausgefunden hat. Der betreffende Exchange Server war bis Ende September 2022 noch verf\u00fcgbar, wie die Suchmaschine Shodan.io zeigt. Im Oktober 2022 ging der Server wohl offline, genau zum Zeitpunkt, als die britische Wahlkommission auf den Cybervorfall aufmerksam wurde.<\/p>\n Beaumont hat obigen Screenshot ver\u00f6ffentlich und schreibt, dass bei diesem System ein Exchange-Server 2016 gemeldet wurde, der zum 9. August 2022 und dann zum 11. Oktober 2022 gepatcht wurde. <\/p>\n Das Sicherheitsteam des vietnamesischen Cybersicherheitsunternehmen GTSC entdeckte Anfang August 2022 im Rahmen von Sicherheits\u00fcberwachungs- und Incident-Response-T\u00e4tigkeiten, dass eine kritische Infrastruktur angegriffen wurde. Betroffen waren Microsoft Exchange Server der betreffenden Organisationen. Eine Analyse ergab, dass eine bisher unbekannte Schwachstelle ausgenutzt wurde. Allerdings kam kein Patch von Microsoft, vielmehr gab es im Oktober 2022 gleich mehrere Versuche, URL-Rewrite-Regeln als vorl\u00e4ufigen Schutz zu etablieren (siehe Microsofts Empfehlungen f\u00fcr die Exchange Server 0-day-Schwachstelle ZDI-CAN-18333<\/a> und die restlichen Artikel am Beitragsende). Microsoft hat erst im November 2022 ein Sicherheitsupdate zum Schlie\u00dfen der Schwachstellen ver\u00f6ffentlicht (siehe Exchange Server Sicherheitsupdates (8. November 2022)<\/a>). <\/p>\n Seit mindestens August 2023, sp\u00e4testens seit Ende September 2023 bestand daher die Gefahr, dass die ProxyNotShell-Schwachstellen CVE-2022-41040 und CVE-2022-41082 als Eintrittsvektor f\u00fcr Microsoft Exchange Server missbraucht wurden. Beaumont schreibt zwar, dass die IT (oder deren IT-Supporter) der britischen Wahlkommission im Jahr 2022 schnell Sicherheits-Patches installiert habe. F\u00fcr 2021 sind keine Daten verf\u00fcgbar, so dass nicht bekannt ist, wie gut die Patches w\u00e4hrend der Sicherheitsl\u00fccken in ProxyShell und ProxyLogon Microsoft Exchange installiert waren.<\/p>\n An Hand der Links am Artikelende l\u00e4sst sich aber nachvollziehen, das Microsoft Anfang Oktober 2022 nur eine URL-Rewrite-Regel zum Abdichten der Schwachstelle ver\u00f6ffentlichte. Diese vor\u00fcbergehende Abhilfema\u00dfnahme musste mehrfach nachgebessert werden, weil sich die URL-Rewrite-Regel umgehen lie\u00df. Erst im November 2022 gab es dann ein Sicherheitsupdate zum Schlie\u00dfen der Schwachstellen.<\/p>\n Und damit ergibt sich das Bild, dass die Electoral Commission einen oder mehrere Exchange Server in einer Konfiguration einsetzte anf\u00e4llig f\u00fcr ProxyNotShell-Angriffe mit Remotecode-Ausf\u00fchrung waren. Dadurch bestand die Gefahr einer vollst\u00e4ndigen Kompromittierung des Netzwerks (Exchange Server l\u00e4uft standardm\u00e4\u00dfig mit hoch privilegierten Active Directory-Konten). Angreifer, die die Schwachstelle kannten, h\u00e4tten die Exchange-Instanzen seit August 2022 angreifen k\u00f6nnen – was wohl so auch erfolgt sein d\u00fcrfte. <\/p>\n Im Dezember 2022 hatte ich berichtet, dass es einen mehrt\u00e4gigen Ausfall der Exchange-Instanzen des US-Anbieters Rackspace gegeben hatte. Verantwortlich war ein Ransomware-Angriff, und es stand seinerzeit zumindest der Verdacht im Raum, dass die ProxyNotShell-Schwachstellen das Einfallstor waren. Auch der Vorfall bei der britischen Electoral Commission f\u00e4llt genau in den Zeitraum, als es keine Patch f\u00fcr Exchange zum Schlie\u00dfen der NotProxyShell-Schwachstellen gab. F\u00fcr Kevin Beaumont starke Hinweise, dass das der Einfallsvektor f\u00fcr die Angreifer gewesen sein k\u00f6nnte. <\/p>\n Ich habe das Ganze mal hier im Blog aufgegriffen (auch wenn das Beispiel wegen der nicht vorhandenen Patches etwas hinkt), weil wir die Tage ja hier im Blog die Diskussion<\/a> im Umfeld des August 2023-Update-Desasters (Desaster Exchange August 2023-Sicherheitsupdate \u2013 nicht installieren!<\/a>) hatten, ob Patches nun schnell oder mit Zeitverz\u00f6gerung installiert werden sollten. Obiger Fall zeigt, dass man immer auf den Einzelfall schauen und dann entscheiden sollte.<\/p>\n \u00c4hnliche Artikel:<\/strong> In Gro\u00dfbritannien ist es wohl unbekannten Angreifern bereits 2022 gelungen, in das IT-System, in dem die W\u00e4hlerlisten gespeichert sind, einzudringen. Der Vorfall, bei dem bis zu 40 Millionen Nutzerdaten abgezogen worden sein k\u00f6nnten, ist erst jetzt bekannt geworden. Und nun … Weiterlesen Im Oktober 2022 wurde entdeckt, dass sich Unbekannte im IT-System der UK Electoral Commission tummelten, in dem auch die W\u00e4hlerverzeichnisse der Menschen gespeichert waren, die sich zwischen 2014 und 2022 f\u00fcr Wahlen in Gro\u00dfbritannien (im Inland und in \u00dcbersee) registriert hatten. Es brauchte neun Monate, bis die britische Wahlkommission diesen Sicherheitsvorfall bekannt macht und sich in diesem Statement<\/a> entschuldigt. Hier die \u00fcbersetzten Kernpunkte der Mitteilung:<\/p>\n
\n
Ein Exchange-Server im Einsatz<\/h2>\n
![\"Exchange](\"https:\/\/i.postimg.cc\/76TxgbdV\/image.png\"\/ "\\"Exchange")
Britischer Exchange Server 2016, Quelle: Beaumont DoublePulsar<\/a><\/p>\nDas ProxyNotShell 0-day-Desaster<\/h2>\n
Ende September 2022 wurde die neue 0-Day-Exploit-Methode (ProxyNotShell) f\u00fcr On-Premises Exchange Server dann \u00f6ffentlich bekannt (siehe Exchange Server werden \u00fcber 0-day Exploit angegriffen (29. Sept. 2022)<\/a>).<\/p>\n
Exchange Server werden \u00fcber 0-day Exploit angegriffen (29. Sept. 2022)<\/a>
Exchange Server: Neue 0-day (nicht NotProxyShell, CVE-2022-41040, CVE-2022-41082)<\/a>
Microsofts Empfehlungen f\u00fcr die Exchange Server 0-day-Schwachstelle ZDI-CAN-18333<\/a>
Neues zur Exchange Server 0-day-Schwachstelle ZDI-CAN-18333: Korrekturen, Scripte und EMS-L\u00f6sung<\/a>
Exchange Server: Microsofts 0-day-Schutz aushebelbar, neue Einsch\u00e4tzungen (3. Oktober 2022)<\/a>
Exchange Server: Microsofts bessert L\u00f6sungen f\u00fcr 0-day-Schutz nach (5. Oktober 2022)<\/a>
Exchange Server: Microsofts bessert L\u00f6sungen f\u00fcr 0-day-Schutz nach (8. Oktober 2022)<\/a>
Exchange Server Sicherheitsupdates (11. Oktober 2022)<\/a>
Exchange Server Sicherheitsupdates (8. November 2022)<\/a>
Droht eine Exchange ProxyNotShell-Katastrophe zum Jahreswechsel 2022\/2023?<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"