Heimatschutz erklärt Microsoft Exchange-Angriff zum “Notfall”

Die Heimatschutzbehörde hat einen laufenden Angriff auf Microsoft Exchange als Notfall deklariert. Die Angriffe, die Anfang dieser Woche begannen, zielen auf Microsoft Exchange Server ab und reihen mehrere Zero-Day-Exploits aneinander, um auf sichere E-Mail-Konten zuzugreifen.

Heimatschutz: Angriff ist "inakzeptables Risiko"

Die Heimatschutzbehörde hat am späten 3. März die Notfallrichtlinie 21-02 herausgegeben, die einige Hintergrundinformationen zum Microsoft Exchange-Angriff enthält.

CISA-Partner haben eine aktive Ausnutzung von Sicherheitslücken in lokalen Microsoft Exchange-Produkten beobachtet. Weder die Sicherheitsanfälligkeiten noch die identifizierten Exploit-Aktivitäten wirken sich derzeit auf Microsoft 365- oder Azure Cloud-Bereitstellungen aus. Durch die erfolgreiche Ausnutzung dieser Sicherheitsanfälligkeiten kann ein Angreifer auf lokale Exchange-Server zugreifen und so dauerhaften Systemzugriff und Kontrolle über ein Unternehmensnetzwerk erhalten.

Die Richtlinie erklärt dann, dass ein Angriff dieser Art "ein inakzeptables Risiko für die Agenturen der zivilen Exekutive des Bundes darstellt und Sofortmaßnahmen erfordert".

Die Heimatschutzbehörde hat am Freitag, dem 5. März, eine Frist von 12.00 Uhr EST festgelegt, damit die Bundesbehörden die in der Richtlinie festgelegten Analyse- und Minderungsprotokolle einhalten können.

Derzeit muss jede Agentur ihre Microsoft Exchange-Server identifizieren, eine forensische Analyse des Systemspeichers, der Protokolle und der Registrierungsstrukturen durchführen und anschließend die Ergebnisse auf Anzeichen für Diebstahl von Anmeldeinformationen oder andere Kompromisse analysieren.

Verwandte: Die besten kostenlosen Alternativen zu Microsoft Outlook

Wer greift Microsoft Exchange Server an?

Microsoft hat die Zahl direkt auf eine Hacking-Gruppe des chinesischen Nationalstaates gerichtet, die als HAFNIUM bekannt ist. Normalerweise dauert es etwas länger, bis Unternehmen einen Verdächtigen benennen. Microsoft bezweifelt jedoch kaum, dass ein "hochqualifizierter und hoch entwickelter Schauspieler" hinter dem Angriff steckt.

Das Microsoft Threat Intelligence Center (MSTIC) schreibt diese Kampagne mit großem Vertrauen HAFNIUM zu, einer Gruppe, die aufgrund der beobachteten Viktimologie, Taktik und Verfahren als staatlich gefördert gilt und von China aus operiert.

Ein Grund dafür ist, dass der Microsoft Exchange-Angriff vier bisher unbekannte Sicherheitslücken miteinander verbindet. Sie können die Details im offiziellen Microsoft Security-Blog lesen.

Microsoft stellt außerdem fest, dass HAFNIUM bei der Interaktion mit seiner Microsoft Office 365-Suite nach Sicherheitslücken gesucht hat. Es wurde auch bestätigt, dass dieser Angriff keinen Bezug zu SolarWinds hat, dem enormen Cyberangriff, von dem mehrere US-Regierungsbehörden sowie mehrere führende Technologieunternehmen betroffen waren.

Verwandte Themen : Microsoft enthüllt aktuelles Ziel von SolarWinds Cyberattack

Die gute Nachricht ist, dass das Microsoft-Sicherheitsteam bereits eine Reihe von Patches eingeführt hat, um die Sicherheitsanfälligkeiten zu verringern, während diese Angriffe andauern und eine erhebliche Bedrohung für Microsoft Exchange Server darstellen.

Weitere Informationen zu den Microsoft Exchange Server-Patches finden Sie auf der Microsoft Tech Community-Website , einschließlich Informationen zum Herunterladen und Installieren der Updates sowie zum Scannen Ihrer Exchange Server auf Anzeichen von Kompromissen.