Was die Hafnium-Attacke lehrt Sicherheit in Zeiten von Remote Work

Autor / Redakteur: Ulf Baltin / Peter Schmitz

Mitte März gab Microsoft bekannt, dass seine Exchange Server Opfer der chinesischen Hacker-Gruppe Hafnium wurden. Weltweit sind rund 30.000 Systeme betroffen. Der Massenhack wirft einmal mehr die Frage auf, wie Unternehmen Sicherheitsschwachstellen schnell entdecken und beheben können. Das Zero-Trust-Prinzip und KI-gesteuerte Sicherheits-Tools können die Antwort sein.

Firmen zum Thema

Aus der Hafnium-Attacke lässt sich eine wichtige Lehre ziehen: Durch Remote Working und BYOD sind alle Geräte, die mit dem Exchange Server verbunden sind, sind grundsätzlich potenziell gefährdet.
Aus der Hafnium-Attacke lässt sich eine wichtige Lehre ziehen: Durch Remote Working und BYOD sind alle Geräte, die mit dem Exchange Server verbunden sind, sind grundsätzlich potenziell gefährdet.
(© peshkova - stock.adobe.com)

Zuvor unbekannte Schwachstellen von Microsoft Exchange Server machten es möglich, dass den Hafnium-Angreifern der Zugriff gelingen konnte. Microsoft rief daraufhin sofort eine hohe Warnstufe aus – und auch das Bundesamt für Sicherheit in der Informationstechnik hat eine offizielle Warnmeldung herausgegeben. Mittlerweile ist auch ein Patch von Microsoft verfügbar, doch verlief der Patch-Prozess nicht auf allen Exchange Servern problemlos.

Bei ihrer Attacke nutzten die Hacker den offenen Port 443. Diesen in der Firewall zu öffnen, ist unter Umständen notwendig, um externe Geräte an das Mail-Konto des Exchange Servers anzubinden. Durch diesen offenen Port hatten die Angreifer die Möglichkeit, eigene Dateien auf dem Exchange Server zu speichern und selbst Prozesse zu starten. Im Hafnium-Fall war das die Installation einer WebShell und der Download von Powershell-Skripten. Auf diese Weise konnten sie Systemprozesse dumpen und analysieren, sich Zugang zu Anmeldedaten verschaffen und weitere Malware installieren. Letztlich bekamen sie über vier Schwachstellen einen uneingeschränkten Zugang zu allen Systemen der betroffenen Unternehmen. Die Folgen der Hafnium-Attacke sind immer noch nicht abzusehen, da immer mehr bösartige Akteure – jenseits von Hafnium – die Opfer auf der ganzen Welt ins Visier nehmen. Sie dringen in noch nicht gepatchte Systeme ein und installieren weitere Malware, um sich langfristig Zugang zu betroffenen Microsoft Exchange Servern zu sichern.

Schwachstellen mit Folgen

Wie der Hafnium-Hack zeigt, hatte der Microsoft Exchange Server ein riesiges Sicherheits-Problem, das lange niemandem bewusst war. Erschwerend kommt hinzu, dass der Microsoft Defender nicht in der Lage ist, diese Art von Angriffen zu verhindern oder zu stoppen. Für Unternehmen – und nicht nur die, die Microsoft Exchange Server nutzen – bedeutet das: Sie sollten sich beim Schutz ihrer Daten nicht auf die Sicherheitslösungen des herstellerseitig mitgelieferten Betriebssystems verlassen. Nutzer der Microsoft Exchange Server, die noch keine Schritte in Bezug auf die Hafnium-Attacke unternommen haben, sollten überdies alle Systeme ihres Unternehmens als kompromittiert betrachten. Die Tatsache, dass die Hacker Zugriff auf alle Mails und Kontakte haben, stellt vor dem Hintergrund der DSGVO ein weiteres, nicht zu unterschätzendes Problem dar.

Endpunkte richtig absichern

Gerade in den vergangenen Monaten, in denen Remote Working sowie Bring-your-own-Device in vielen Unternehmen zum Standard geworden ist, lässt sich aus der Hafnium-Attacke eine wichtige Lehre ziehen. Alle Geräte, die mit dem Exchange Server verbunden sind, sind grundsätzlich potenziell gefährdet.

Damit stehen Unternehmen vor der Herausforderung, wie sie ihre Endpunkte sicher an den Exchange Server anbinden. Der sicherste Weg, um Angriffe zu verhindern, ist keinerlei Zugriffe von außen zuzulassen. Falls doch Angreifer in das System eindringen, lässt sich den Angreifern mit modernen Security-Tools, die künstliche Intelligenz (KI) nutzen, Einhalt gebieten. Dazu gehören EPP- oder EDR-Tools, wie beispielsweise BlackBerry Protect und BlackBerry Optics. Diese können zum Beispiel die Bedrohungsrisiken an den Endgeräten kontinuierlich bewerten. Durch kontinuierliche Risikobewertung kann die Endpunktsicherheit durch Produkte wie BlackBerry Persona direkt mit einer innovativen, dynamischen Zero-trust Strategie weiter erhöht werden.

Der Zero Trust-Ansatz

Hinter dem Begriff Zero Trust verbirgt sich ein Ansatz, der erst durch die jüngsten Fortschritte auf dem Gebiet der KI möglich wurde und der die IT-Systeme von Unternehmen gegen Angriffe von Cyber-Kriminellen umfassend schützt.

Die Idee hinter Zero Trust ist, wie der englische Name schon sagt, ein Sicherheitskonzept, bei dem jedem Gerät, beziehungsweise jedem User standardmäßig nicht vertraut wird. In der modernen, dynamischen Interpretation von Zero Trust bedeutet dies, jeder User erhält zunächst nur minimale, für ihn notwendige Rechte. Je nach Gegebenheit, wie beispielsweise der Standort des Users oder das verwendete Netzwerk, und durch kontinuierliche Analysen des Userverhaltens, lässt sich die Zero Trust-Strategie dynamisch gestalten. Eine KI übernimmt dabei die Vertrauensbewertung. Sie erkennt unter anderem den Standort oder das Netzwerk des Users und steuert dementsprechend den Umfang des Zugriffs. Das alles passiert in Echtzeit. Infolgedessen ist beispielsweise bei Zugriffsanfragen aus dem Netzwerk des Unternehmenssitzes keine Zwei-Faktor-Authentifizierung erforderlich, wenn sie dagegen aus einem Hotel erfolgen schon. Auf diese Weise erhält der User automatisch die notwendige Sicherheit.

Wie Cyber-Security-Tools noch schützen

Des Weiteren gibt es zahlreiche Cyber-Sicherheitsprodukte, die helfen, Unternehmensnetzwerke zu schützen. Erhältlich sind etwa Lösungen für Unified Endpoint Management, wie beispielsweise BlackBerry UEM, die einen sicheren Kanal ins Unternehmensnetzwerk bereitstellen und die es erlauben, dass kein eingehender Port verwendet wird, sodass die Firewall den Zugriff über diesen Port blocken kann. Dank moderner KI-Technologie sind Endpoint-Security-Lösungen ebenso in der Lage, Angriffe direkt zu erkennen. Zusätzlichen Schutz bieten Erweiterungen wie Script Control und Memory Protection.

Dabei wird das Unternehmensnetzwerk ständig überwacht und Dumping-Prozesse werden verhindert. Wenn dann noch Script Control zum Einsatz kommt, ist auch der Schutz vor der Verwendung von Power Shell-Skripten gewährleistet. Andere Sicherheitsprodukte wiederum nutzen EDR-Systeme und können so Angriffe nicht nur erkennen und analysieren, sondern leiten auch Maßnahmen wie Threat Hunting und Root Cause Analysen ein.

Was Nutzer von Microsoft Exchange Server tun können

Security-Spezialisten empfehlen Anwendern von Microsoft Exchange Server in jedem Fall dem Rat von Microsoft zu folgen und ihre On-Premise-Systeme sofort zu aktualisieren und – falls nicht schon geschehen – zu patchen. Es ist außerdem ratsam im BlackBerry Optics EDR-System die benutzerdefinierte Win Procdump Lsass CredTheft Mitre-Regel zu aktivieren. Last but not least bieten sowohl der Zero-Trust-Ansatz als auch die Funktionalitäten moderner KI-basierter Cyber-Security Dienste einen Weg, auch die Bedrohungen der nächsten Generation zu erkennen und zu beseitigen.

Über den Autor: Ulf Baltin ist Managing Director DACH bei BlackBerry.

(ID:47580134)