Email-Sicherheit

Der Microsoft Exchange-Hack offenbart die Nachteile der Beliebtheit

Adrien Gendre

01. April 2021

3 min

Der Microsoft Exchange-Hack offenbart die Nachteile der Beliebtheit

Der Microsoft Exchange-Hack, der im März 2020 gemeldet wurde, ist nur einer von vielen aktuellen Angriffen von Cyber-Spionagegruppen auf Microsoft. Wenn der SolarWinds-Hack vom Dezember 2020 es nicht überdeutlich gemacht hat, dann beweist spätestens dieser neueste Vorfall, dass Microsoft eines der größten und lukrativsten Hacking-Ziele der Welt ist.

Die Entwicklung des Exchange-Hacks

Am 2. März 2021 gab Microsoft mehrere Sicherheitslücken seiner Exchange-Server bekannt und veröffentlichte Patches für alle Versionen. Wie sich herausstellte, begannen die Angriffe auf die Exchange-Server bereits im Januar, was zu der Annahme führte, dass die Hacker bereits im Vorfeld über die Schwachstellen informiert worden waren, möglicherweise anhand von durchgesickertem Proof-of-Concept-Code, der mit Microsofts Cybersicherheitsanbietern und Partnern geteilt worden war.

Hacker, die sich Zugang zu den Exchange-Servern der Opfer verschafften, installierten Web-Shells, die einen Fernzugriff auf die betroffenen Systeme ermöglichten. Mit unbegrenztem Zugriff und einer Hintertür, durch die sie nach Belieben zurückkehren konnten, hatten die Hacker freie Hand, um E-Mail-Daten herunterzuladen und Ransomware auf den betroffenen Systemen zu installieren.

Patches werden zwar empfohlen, machen den Schaden aber nicht rückgängig. Microsoft hat inzwischen ein One-Click-Exchange-Mitigation-Tool veröffentlicht, das Administratoren hilft, gehackte Systeme schnell zu identifizieren, aber für viele Unternehmen kam die Hilfe zu spät.

Während der ursprüngliche Hack Hafnium, einer Advanced Persistent Threat (APT)-Gruppe aus China, zugeschrieben wird, haben sich schnell andere Gruppen gefunden, um Unternehmen auszunutzen, die ihre Systeme noch nicht gepatcht hatten. Bis zum heutigen Tag sind bis zu 30.000 Kunden in den USA und 250.000 Kunden weltweit betroffen.

Wie geht es weiter?

Im Gegensatz zu den meisten groß angelegten Angriffen betraf der Exchange-Hack in erster Linie KMUs, die im Gegensatz zu großen Unternehmen, die auf Microsoft 365 umgestiegen sind, bei der Migration in die Cloud im Rückstand sind. Es ist erwähnenswert, dass „klein“ nicht gleichbedeutend mit unbedeutend ist: Rüstungsunternehmen sind kleine Unternehmen, Stadtverwaltungen sind kleine Unternehmen. Ihre Kunden, Kontakte und Lieferanten sind nun gleichermaßen gefährdet.

Während die betroffenen Organisationen in der unmittelbaren Folge der Sicherheitsverletzungen mit Ransomware-Angriffen konfrontiert wurden, werden wahrscheinlich weitere Angriffe per E-Mail folgen. Mit dem Zugriff auf E-Mail-Adressen und Kontaktlisten können Hacker nun Phishing- und Spear-Phishing-Angriffe sowohl innerhalb als auch außerhalb des Unternehmens gegen die Personen starten, deren E-Mail-Adressen bekannt wurden.

In Kombination mit dem Exchange-Hack könnten die Kosten und die Herausforderung des Managements von On-Premise-Servern und Disaster-Recovery-Plänen eine bevorstehende Migration von KMUs zu Microsoft 365 nach sich ziehen. Einen Trend in diese Richtung gibt es schon seit geraumer Zeit. Durch die geringen Anschaffungskosten, den begrenzten Bedarf an IT-Ressourcen und die Skalierbarkeit ist Microsoft 365 eine optimale Lösung für KMUs mit wenig oder keiner IT.

Viele im Bereich der Cybersicherheit empfehlen angesichts der jüngsten Angriffe sogar einen solchen Schritt. Auch wenn der Exchange-Hack vielleicht nur On-Premise-Server getroffen hat, bedeutet das jedoch nicht, dass Cloud-E-Mails immun sind. Hacker sind nicht an Servern interessiert; es geht um Microsoft.

Microsofts einsamer Platz an der Spitze

Im Jahr 2018 wurde Microsoft zur am häufigsten bei Phishing-Angriffen nachgeahmten Marke, eine Position, die sie seit drei Jahren in Folge innehat. Vor dem Microsoft-Phishing wurde PayPal am häufigsten nachgeahmt. Der Wechsel von PayPal zu Microsoft markierte eine Änderung in der Taktik der Phisher, die den langfristigen Wert von Unternehmensdaten gegenüber den schnellen Belohnungen, die mit Verbraucher-Phishing verbunden sind, erkannt haben.

Heute ist Microsoft Marktführer im Bereich der E-Mail- und Office-Produktivitätspakete mit allein 258 Millionen Microsoft 365-Unternehmensnutzern. Auch die Angriffe auf Microsoft haben mit der zunehmenden Beliebtheit von Microsoft 365 Schritt gehalten. Mit der Unmenge an Daten, die in SharePoint und OneDrive gehostet werden, sind die Möglichkeiten für Cyberkriminelle endlos, und sie nutzen sie aus.

Durch Hacken eines einzelnen Microsoft-Kontos mit einer Phishing-E-Mail haben Hacker die Möglichkeit, unermesslichen Schaden anzurichten, bevor sie entdeckt werden. Einem aktuellen Bericht zufolge wurden die Konten von 71 Prozent der Microsoft 365-Benutzer im letzten Jahr gehackt, und bei 96 Prozent der missbrauchten Konten kam es zu einem lateralen Angriff.

Laterale Angriffe innerhalb von Microsoft 365 können Phishing- und Spear-Phishing-Angriffe unter Verwendung gehackter Microsoft 365-Anmeldeinformationen umfassen. Phishing wird zwar am häufigsten mit dem Diebstahl von Anmeldedaten in Verbindung gebracht, ist aber auch eine der Hauptverbreitungsmethoden von Ransomware, da Phishing-Kampagnen im Vergleich zu anderen Verbreitungsmethoden relativ einfach und kostengünstig zu erstellen sind.

Microsofts Dominanz erreicht 2020 dank COVID-19 und der globalen Verlagerung auf das mobile Arbeiten neue Höhen. Es hat jedoch Nachteile, die Nummer 1 zu sein. Die Popularität hat Microsoft zu einem großen Ziel gemacht, und ein großes Ziel zu treffen erfordert kein besonderes Geschick. Wie viele MSPs festgestellt haben, reicht Microsofts integrierte Sicherheit nicht aus, um Angriffe abzuwehren. Um Microsoft 365 zu stärken, müssen MSPs einen mehrschichtigen Zero-Trust-Ansatz für die Cybersicherheit verfolgen.