{"id":8060,"date":"2021-03-16T15:15:41","date_gmt":"2021-03-16T14:15:41","guid":{"rendered":"https:\/\/www.psw-group.de\/blog\/?p=8060"},"modified":"2026-02-11T09:19:27","modified_gmt":"2026-02-11T08:19:27","slug":"microsoft-exchange-server-hack","status":"publish","type":"post","link":"https:\/\/www.psw-group.de\/blog\/microsoft-exchange-server-hack\/","title":{"rendered":"Microsoft Exchange-Server-Hack verursacht IT-Bedrohungslage rot"},"content":{"rendered":"

Der Software-Riese Microsoft schloss zum 3. M\u00e4rz 2021 mit einem au\u00dferplanm\u00e4\u00dfigen Sicherheitsupdate<\/a> vier Schwachstellen in den Microsoft Exchange-Server-Versionen 2010 bis 2019. In dieser ersten Mitteilung stellte Microsoft die Bedrohung als relativ gering dar. Mittlerweile hat sich diese Situation ver\u00e4ndert: Es l\u00e4uft eine beispiellose Angriffswelle gegen ungepatchte Exchange-Instanzen. Das BSI hat die Alarmstufe rot ausgerufen<\/a>.<\/p>\n

Das bedeutet f\u00fcr zahlreiche Unternehmen, Beh\u00f6rden und Institutionen, dass sie jetzt nicht nur patchen, sondern auch nach Anzeichen f\u00fcr einen Einbruch Ausschau halten m\u00fcssen. Die f\u00fcr den Hack mutma\u00dflich verantwortliche Hafnium-Gruppe hat erreichbare Exchange-Server mit einer Backdoor versehen. Es gilt, diese aufzusp\u00fcren und unsch\u00e4dlich zu machen. Au\u00dferdem stellt sich die Frage, inwieweit die Exchange-L\u00fccke eine meldepflichtige Datenschutzverletzung darstellt. All diesen Punkten gehen wir im heutigen Beitrag nach.<\/p>\n

Microsoft Exchange \u2013 Was ist das?<\/h2>\n

Mit Exchange-Server bietet Microsoft einen Dienst an, mit dem in Netzwerken die E-Mail-Kommunikation gesteuert, die elektronische Kommunikation aber auch auf sch\u00e4dliche Dateien wie Viren gepr\u00fcft werden kann. S\u00e4mtliche eingehenden und ausgehenden E-Mails landen beim entsprechenden Exchange-Server; von dort aus werden sie an die Empf\u00e4nger verteilt. Wenngleich es Alternativen gibt, setzen weltweit zahlreiche staatliche und privatwirtschaftliche Institutionen auf Microsoft Exchange-Server.<\/p>\n

 <\/p>\n

Exchange-Server-Hack: Chronik der Katastrophe<\/h2>\n

Das taiwanesische Unternehmen Devcore untersuchte die Sicherheit von Exchange-Systemen. Am 10. Dezember 2020 stie\u00df man auf eine Schwachstelle, die als ProxyLogon (CVE-2021-26855) bezeichnet wurde. Diese Schwachstelle erlaubte es Angreifern, das regul\u00e4re Authentifizieren einfach zu umgehen, sodass sie sich mit Admin-Rechten anmelden konnten.<\/p>\n

Die Sicherheitsforscher entdeckten eine zweite Schwachstelle: \u00dcber diese gelang es, Dateien f\u00fcr eine Remote Code Execution (RCE<\/a>, Remote-Code-Ausf\u00fchrung) in Exchange zu platzieren. Die Forscher bauten aus dieser Schwachstelle einen Proof of Concept-Exploit \u2013 voll funktionsf\u00e4hig, sodass sich die Exchange-Authentifizierung umgehen lie\u00df. Devcore dokumentiert auf der ProxyLogon-Site<\/a>, dass die Sicherheitsforscher Microsoft am 5. Januar 2021 \u00fcber das Security Resource Center (MSRC) informiert hatten.<\/p>\n

Zwar best\u00e4tigte das MSRC die Schwachstellen, jedoch wurde nicht umgehend ein Sicherheitsupdate bereitgestellt. Microsoft wollte mindestens einen Fix freigeben, noch bevor die Frist zum Ver\u00f6ffentlichen von Schwachstellen abl\u00e4uft. Zun\u00e4chst k\u00fcndigte Microsoft am 18. Februar an, die Patches mit dem M\u00e4rz-Patchday am 9. zu verteilen. Dann kam es anders: Microsoft ver\u00f6ffentlichte die Sicherheitspatches au\u00dferplanm\u00e4\u00dfig mit einer Sicherheitswarnung am 03. M\u00e4rz 2021.<\/p>\n

Exchange-Hack: Warnungen im Vorfeld<\/h3>\n

Nicht nur Devcore, auch die Sicherheitsfirma Volexity beobachtete bereits am 06. Januar 2021 Angriffe \u00fcber eine bis dato nicht ver\u00f6ffentlichte Exchange-Schwachstelle. Der US-Sicherheitsblogger Brian Krebs hat eine Timeline des Exchange-Massenhacks<\/a> ver\u00f6ffentlicht, die die Vorg\u00e4nge gut darstellt \u2013 all die Warnungen an Microsoft sind also bestens dokumentiert.<\/p>\n

Noch einer reiht sich ein: Sicherheitsforscher des Unternehmens Dubex haben Microsoft am 27. Januar 2021 \u00fcber Angriffe auf Exchange-Server informiert. Nur wenige Tage sp\u00e4ter, n\u00e4mlich am 29. Januar, berichtete der Sicherheitsanbieter Trend Micro davon<\/a>, dass es Angreifern \u00fcber eine Schwachstelle gelungen ist, eine Webshell als Backdoor auf Exchange-Servern zu installieren.<\/p>\n

Verwundbare Exchange-Server mit Backdoor<\/h3>\n

Bis dahin soll es nur vereinzelte Angriffe auf ausgesuchte Exchange-Server gegeben haben. Am 26. bzw. 27. Februar begannen jedoch die Massenscans: Exchange-Server, die verwundbar waren, wurden automatisch mit einer Webshell infiziert.<\/p>\n

Mit dem 02. M\u00e4rz (US-Zeit, hierzulande war es bereits der 03. M\u00e4rz) ver\u00f6ffentlichte Microsoft nicht nur die Sicherheitsupdates, sondern auch eine Analyse<\/a>. Im Rahmen dieser Analyse macht Microsoft die chinesische Hafnium-Hackergruppe daf\u00fcr verantwortlich, verwundbare Exchange-Server mit Zero-Day-Exploits anzugreifen.<\/p>\n

Nur wenige Stunden nach Ver\u00f6ffentlichung der au\u00dferplanm\u00e4\u00dfigen Updates und der vier Schwachstellen begann die beispiellose Infektion s\u00e4mtlicher via Internet erreichbaren ungepatchten Exchange-Server. Das f\u00fchrte dazu, dass Administratoren kaum eine M\u00f6glichkeit hatten, zu reagieren.<\/p>\n

Hinzu kam ein Problem beim Patchen<\/a>: Nicht allen gelang es, die Schwachstelle wirklich zu schlie\u00dfen. Vielfach konnten die Patches nicht eingespielt werden, da dies mit \u00e4lteren CUs (kumulatives Update, welches viertelj\u00e4hrlich erscheint) nicht m\u00f6glich war. Erst mit dem 09. M\u00e4rz erm\u00f6glichte Microsoft Patches auch bei veralteten CU-St\u00e4nden.<\/p>\n

 <\/p>\n

Banken, Beh\u00f6rden, Unternehmen: Alle sind vom Exchange-Server-Hack\u00a0betroffen<\/h2>\n

Zehntausende von Unternehmen, Beh\u00f6rden, aber auch Banken oder Forschungseinrichtungen sind betroffen: Ihre E-Mails k\u00f6nnen mitgelesen werden, schlimmstenfalls lassen sich sogar Rechner fernsteuern. Sch\u00e4tzungen m\u00f6glicher Betroffener gehen immer weit auseinander: Brian Krebs berichtet von 30.000 gehackten E-Mail-Systemen ausschlie\u00dflich in den USA, das Wall Street Journal nennt mehr als 250.000 Opfer weltweit und der Finanzdienst Bloomberg zitiert einen ehemaligen US-Beamten, der von mindestens 60.000 betroffenen E-Mail-Servern spricht. Die Sch\u00e4tzungen der betroffenen Unternehmen hierzulande liegen zwischen 60.000 bis hin zu mehreren 100.000 \u2013 Fakt ist: Die L\u00fccke betrifft nahezu jedes Unternehmen bzw. jede Beh\u00f6rde. Tats\u00e4chlich ausgenommen sind Nutzende der Microsoft-eigenen Cloud-L\u00f6sungen.<\/p>\n

Nun wird hierzulande insbesondere deshalb auf Self-Hosting-L\u00f6sungen gesetzt, um die Datenhoheit zu behalten, Vorgaben der DSGVO einzuhalten und damit insgesamt die Sicherheit zu erh\u00f6hen. Auch wir haben in verschiedenen Tests immer wieder dazu geraten, m\u00f6glichst auf Self-Hosting-L\u00f6sungen zu setzen. In diesem Fall darf man die Schuld weder auf die Cloud-m\u00fcden deutschen Unternehmen noch auf die mutma\u00dflich verantwortliche Hafnium-Gruppe verteilen, das gelingt nicht.<\/p>\n

Denn das erste Update-Desaster zeigt, dass Microsoft sich bislang nicht sehr darum gek\u00fcmmert hat, Updates so zu gestalten, dass sie zeitnah eingespielt werden k\u00f6nnen \u2013 etliche Systeme sind nicht mal ann\u00e4hernd aktuell. Es vergingen weitere f\u00fcnf Tage, bevor Microsoft die Patches an \u00e4ltere CU-St\u00e4nde angepasst hatte. Hinzu kommt, dass das Update-Prozedere bei Exchange-Servern wirklich Know-how erfordert. Microsoft lie\u00df sich Zeit \u2013 sowohl beim Ver\u00f6ffentlichen der L\u00fccke als auch beim Bereitstellen der Patches.<\/p>\n

 <\/p>\n

Exchange-Server-Hack: CERT-Bund und BSI<\/h2>\n

Am 08. M\u00e4rz twitterte CERT-Bund<\/a>, das Computer-Notfallteam des BSI, dass \u201edeutsche Netzbetreiber zu IP-Adressen definitiv verwundbarer Exchange-Server in ihren Netzen\u201c benachrichtigt werden. Die Provider wurden gebeten, betroffene \u201eKunden umgehend zu informieren\u201c. Weiter twitterte CERT-Bund einige konkrete Zahlen, die erschrecken d\u00fcrften: \u201eAktuell werden in Deutschland ca. 63.000 Exchange Server mit offen aus dem Internet erreichbarem OWA betrieben. Davon sind mindestens 26.000 f\u00fcr die aktuellen kritischen Schwachstellen (CVE-2021-26855 et al.) verwundbar, potenziell bis zu 58.000 Systeme.\u201c<\/p>\n

Auch das Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI) selbst meldete sich zu Wort: Die Beh\u00f6rde hatte die \u201eIT-Bedrohungslage rot\u201c ausgerufen<\/a> (PDF). In einer Pressemeldung vom 05. M\u00e4rz 2021<\/a> erkl\u00e4rte das BSI, man gehe davon aus, alle bislang nicht aktualisierten Systeme seien mit der Webshell infiziert: \u201eBei Systemen, die bis dato nicht gepatched sind, sollte von einer Kompromittierung ausgegangen werden\u201c, schreibt die Beh\u00f6rde. BSI-Chef Arne Sch\u00f6nbohm kritisiert Microsoft in einem Interview mit der WirtschaftsWoche<\/a>: Microsoft h\u00e4tte nicht nur fr\u00fcher warnen, sondern auch hilfreiche Hinweise zum Sch\u00fctzen anf\u00e4lliger Systeme geben m\u00fcssen.<\/p>\n

BSI: Auch KRITIS betroffen<\/h3>\n

Laut Sch\u00f6nbohm konnte das BSI \u201eeine niedrige einstellige Zahl betroffener Bundesbeh\u00f6rden\u201c identifizieren. Au\u00dferdem wei\u00df das BSI mittlerweile \u201evon einigen Tausend Servern in Deutschland, wo Hacker die Schwachstelle bereits ausgenutzt haben. Dort haben sie eine sogenannte \u201aWebshell\u2018 installiert, die ihnen weitergehende M\u00f6glichkeiten gibt, Schadsoftware in Netze einzuschleusen, zus\u00e4tzliche Hintert\u00fcren zu installieren und mehr. Darunter sind auch Unternehmen aus den sogenannten kritischen Infrastrukturen, die uns schon Attacken gemeldet haben.\u201c Aus Sicherheitsgr\u00fcnden nenne Sch\u00f6nbohm jedoch keine Namen.<\/p>\n

 <\/p>\n

Exchange Server-Hack: Werden Sie jetzt aktiv!<\/h2>\n

Es besteht sehr dringender Handlungsbedarf \u2013 f\u00fcr s\u00e4mtliche Unternehmen, die auf Microsoft Exchange-Server setzen! Denn die L\u00fccke wird nach BSI-Informationen (s. PDF: \u201eMicrosoft Exchange Schwachstellen \u2013 Detektion und Reaktion\u201c<\/a>) \u201evon mindestens 10 verschiedenen APT-Gruppen massenhaft ausgenutzt\u201c. All diese Gruppen \u2013 mit Ausnahme einer, die mit Kryptomining in Verbindung gebracht wird \u2013 werden \u201eim Kontext der Informationsbeschaffung gesehen\u201c, es geht also um Spionage. Hat ein Angreifer Zugriff auf den Exchange-Server Ihrer Organisation, so kann dieser Informationen stehlen und diese beispielsweise f\u00fcr betr\u00fcgerische E-Mails nutzen. Weiter wird \u00fcber die Ransomware DearDry berichtet<\/a>, die die Exchange-Schwachstellen auf Servern zur eigenen Verbreitung ausnutzt.<\/p>\n

Was ist jetzt zu tun?<\/p>\n