Exchange Server
Check Point: Massiver Anstieg der Zero-Day-Attacken auf Exchange Server
Verdoppelung der Angriffe alle zwei oder drei Stunden
Die Security-Forscher von Check Point haben umgehend die jüngst entdeckte Schwachstelle unter die Lupe genommen. Deutschland liegt auf Platz vier der am stärksten betroffenen Länder.
Check Point Research, die Security-Forschungsabteilung von Check Point® Software Technologies Ltd. (NASDAQ: CHKP), nahm sich die Zero-Day-Attacken gegen Microsoft E-Mail-Exchange vor und beobachtete genau die Vorgänge .
In den letzten 24 Stunden, so die Experten, verdoppelten sich die Angriffe weltweit, welche die Sicherheitslücke ausnutzen möchten, alle zwei oder drei Stunden. Außerdem fanden sie heraus, welche Länder am stärksten betroffen sind. Auf Platz eins liegt die Türkei (19 Prozent), gefolgt von den Vereinigten Staaten (18 Prozent) und Italien (10 Prozent). Deutschland (7 Prozent) liegt noch auf dem vierten Platz.
Abbildung 1: Getroffene Organisationen nach Ländern.
Zusätzlich haben die Security-Forscher die Attacken nach Branchen geordnet. Am stärksten gerät der Bereich Behörden und Militär (17 Prozent) ins Visier, danach Produktion (14 Prozent) und Banken (11 Prozent). Anfällig sind alle Unternehmen, die den Microsoft-E-Mail-Exchange-Server nutzen, der mit Microsoft Outlook als Postfach zusammenhängt. Hacker können Nachrichten mitlesen, ohne ein Konto eines Nutzers überhaupt stehlen zu müssen, oder sogar den Mail-Server völlig übernehmen.
Abbildung 2: Getroffene Organisationen nach Branche.
Insgesamt sehen die Experten hunderte von Angriffen, die auf die vier kürzlich entdeckten Zero-Day-Sicherheitslücken (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065) reagieren. In Deutschland bestätigte das Bundesamt für Sicherheit in der Informationstechnik (BSI) gegenüber der Presse, dass sechs Bundesbehörden angegriffen wurden. „Dabei ist es in vier Fällen zu einer möglichen Kompromittierung gekommen“, so das BSI.
Über den Ablauf der Attacken konnten die Security-Forscher in Erfahrung bringen, dass die Situation ähnlich zur Sunburst-Schwachstelle ist: Eine Plattform wird als heimliche Eingangstür in die Systeme der Unternehmen und Behörden genutzt. Die Zahl der möglichen Ziele liegt bei mehreren Zehntausend weltweit. Allerdings, so die Sicherheitsforscher, ist das nur äußerst fähigen und finanziell sehr gut ausgestatteten Hackern möglich. Sie geben zusätzlich zu bedenken, dass entsprechend die erfolgreiche Durchführung der Attacke zwar beeindruckend ist, jedoch der Grund bislang unbekannt geblieben ist. Daher ist besondere Vorsicht geboten und sämtliche Netzwerke sollten auf Bedrohungen und Anomalien geprüft werden. Zudem ist ein Patch erschienen, der umgehend installiert werden sollte, weil er nicht automatisch ausgespielt wird. Eine umfassende Sicherheitsarchitektur , die Intrusion Prevention System (IPS) und Schutz gegen Zero-Day-Attacken umfasst, bietet sich ebenfalls sehr an, um gegen diese Art von Angriffen generell gerüstet zu sein.