Microsoft hätte dem Hafnium-Hack wohl vorbeugen können
Aktuell gibt es viele Diskusisonen um Angriffe auf E-Mail-Server, die rund 60.000 Organisationen getroffen haben sollen. Gestartet wurden die Attacken offenbar durch eine chinesische Hackergruppe namens Hafnium, die direkte Verbindungen zur chinesischen Regierung haben soll. Betroffen waren Kunden von Microsoft Exchange Server. Nun treffen Microsoft harte Vorwürfe, welche die Sicherheitslücke gekannt und auf die leichte Schulter genommen haben sollen.
Demnach sei den Redmondern die Problematik bereits Anfang Januar 2021 bekannt gewesen. Doch die ersten Patches wurden erst rund zwei Monate später verteilt. Mittlerweile fasst The Verge gut zusammen, dass sogar nicht nur Hafnium die Lücke ausgenutzt haben soll, sondern mindestens fünf andere Hackergruppen ebenfalls Angriffe ausführten. In den USA warnten deswegen sogar Pressesprecher des Weißen Hauses vor dem Problem.
Die Botschaft: Jede Organisation, die einen lokalen Microsoft-Exchange-Server (2010, 201, 2016 oder 2019) verwendet, sollte dringend die Patches aufspielen, sofern noch nicht geschehen. Allerdings sollen einige Hacker wohl bereits Malware aufgespielt haben, die möglicherweise auch späteren Zugriff erlauben würde. Zudem ist unklar, welche Daten bereits entwendet worden sein könnten.
Microsoft selbst enthält sich konkreter Kommentare. Man verweist darauf, dass man mit den zuständigen Behörden und Sicherheitsfirmen zusammenarbeite. Mögliche Fehler bei der Handhabe wollen die Redmonder nicht eingestehen. Das ist wenig verwunderlich, denn es könnten rechtliche Konsequenzen folgen, sollte Microsoft den Ernst der Lage verkannt haben. Betroffen war von den Angriffen im Übrigen beispielsweise auch die Europäische Bankenaufsichtsbehörde, wie dort selbst eingeräumt wurde.
Monokulturen sind nicht nur auf Feldern gefährdet. Haste eins, haste alle.
Jede Firma, die einen OWA-Server direkt im Internet anbietet hat es eigentlich verdient gehackt zu werden! Ist das selbe wie wenn ich hergehe und das gesamte Intranet komplett hinter einer simple Login-Seite anbiete.
Ich weiß, so was schreibt man nicht, aber manchmal frage ich mich, wo biete haben so einige für die IT-Sicherheit Zuständigen ihr Können her? Alleine wenn ich denke, was bei meiner Firma/Behörde alles an Umwege für Zugänge eingebaut wurden um nur ja niemanden einen Zugang zu erlauben…
Alleine um beim eigentlichen Login-Server zu landen muss ich einen Zwei-Faktor-Login vorher bewältigen. Und dann stehe ich erst recht vor einem Login aka 2-Factor-Auth – und da muss ich bereits wissen, welches System ich nun mit welchen intern benutzten User und dazugehörende Berechtigung verwenden darf! Und das hat nichts mit dem 2-Factor-Zugriff vorher zu tun…
.. und ja, das muss auch beim Zugriff auf die Mails geschehen – nix mit OWA-Server und Internet! Die werden erst im 1.Level des Zugangs erlaubt. (und ja, den Spass hat man auch in der Firma mit den lokalen PCs – die haben einen eigene Bereich, der extra abgesichert ist und nur den Zugang zu einigen wenige Servern erlaubt)
… wo soll der Mailserver denn sonst stehen, wenn nicht in der DMZ mit Internetzugang? Soll sich jede eintreffende Mail mit VPN und 2FA verifizieren oder wie stellst du dir das vor?
Es geht hier nicht um den Mailserver sondern um OWA – das „Webmail Interface“ für Exchange.
Eine 2FA bestätigt nur, dass der Anwender tatsächlich der ist, als der er sich ausgibt. Nicht mehr und nicht weniger. Es ist keine zusätzliche Sicherheit im Sinne von resistenter Software gegenüber Hackerangriffen.
Lösung für die Zukunft: Einfach nur noch Netzwerkinfrastruktur von Huawei und chinesische Software nutzen. Dann kann sowas nicht mehr passieren. Haben sie schließlich versprochen!
Coole Parolen … 😀
Wenn ich diese ganzen „möchte gerne Admins“ höre die natürlich alles wissen und so etwas wie das hier schreiben “ Jede Firma, die einen OWA-Server direkt im Internet anbietet hat es eigentlich verdient gehackt zu werden! “ möchte ich gerne ab und zu mit 5 Jahren Galeere „belohnen“
@ Joe, wir hauptberuflichen Verantwortlichen sind natürlich die absoluten Vollpfosten und nutzen Techniken wie reverse proxy, first and second line of defence, dmz und Frontend und Backend Technologie nur deshalb, damit du sagen kannst direkt im Internet. Und wenn dann noch so ein super Tipp mit MFA oder wie du schreibst 2 Faktor Authentifizierung kommt würde ich dir am liebsten komplette Server irgendwo reinschieben.
Einer der Angriffsverktoren ist neben OWA und ECP ! Achtung ActiveSync, Unified Messaging (UM).
Und jetzt versuche doch mal auf deinem Endgerät der z.B. App MFA näherzubringen. Geht nicht ? Stimmt !
Ganz klar, Systemverantwortlicher zu sein ist super, WENN die Nutzer nicht wären 😉
Netzwerke sind etwas mehr als nur ein Teilbereich…
Danke. Ehrlich