13. März 2021, 13:30

Microsoft Exchange Meltdown - Teil II

Die Entwicklungen des Exchange HAFNIUM-Hacks sind haarsträubend. Mindestens zehn weitere Hacker-Gruppen sind zwischenzeitlich aufgesprungen. Zehntausende Server weltweit sind eine zu große Verlockung. “DearCry” heißt die erste Ransomware1. Im Klartext: Eine Tsunami-Welle rollt auf Microsoft AD-Netzwerke mit Exchange-Servern zu.

Persönlich rechne ich ab diesem Wochenende mit der ersten Welle. Sie wird zuerst die Standard-Installationen befallen, wo die Hacker leichtes Spiel haben und anhand der Dokumente Ihre Ziele schnell identifizieren konnten. Ich tippe auf “lohnenswerte” - sprich zahlungsbereite - Behörden, Kommunen sowie große Unternehmen. Wahrscheinlich werden die Ziele noch manuell angegriffen da die benötigte Ransomware-Infrastruktur zum automatisierten Befall, Bezahlung und Entschlüsselung eingerichtet werden muß. Gleichzeitig herrscht unter den verschiedenen Hackergruppen ein harter Wettbewerb. Wer zuerst verschlüsselt, der gewinnt. Mit der zweiten Welle folgen die “low-hanging fruits”, die vielen namenlosen und automatisiert “abgefrühstückten” Server kleiner und mittlerer Unternehmen.

Im heutigen Blog möchte ich den Fokus auf die Dinge legen, die in den Medien bislang ungenannt geblieben sind und es meiner Einschätzung auch bleiben. Es ist die Fortsetzung des letzte Woche schnell geschriebenen Micro-Blogs “Microsoft Exchange Meltdown”2. Die technischen Aspekte habe ich bereits in einem dritten Teil zusammengefasst, der später kommen wird.

Ein wichtiger Disclaimer:
Wenn ich auf Microsoft, seiner Closed-Sourced Produkte und dem auf Ausnutzung des Verhaltensdatenüberschuß beruhenden Geschäftsmodell hier schimpfe, so liegt keine Pauschalverurteilung vor. Microsoft-Produkte lassen sich mit den richtigen kompensierenden Maßnahmen sicher betreiben. Ich vertrete die streitbare Meinung, dass ein sauber konfigurierter und managed Windows-Arbeitsplatz mit SRP und isoliertem AD sicherer als ein unsachgemäß eingerichteter, gebastelter Linux-Desktop ist.

HAFNIUM ist nicht das Problem

Ich beginne mit den unbequemen Dingen. Weder die vier Microsoft Exchange-Schwachstellen, noch die Methoden und Tools der Hacker sind neu.

Gesicherter Fakt ist, dass Microsoft monatelang untätig geblieben ist.3 Erste Hinweise auf die Schwachstelle CVE-2021-26855 gab es am 10.12.2020. In der Folge wurden vom Unternehmen DEVCORE weitere Schwachstellen aufgedeckt und am 05.01.2021 um 10:41 UTC vorbildlich und umfassend Microsoft inkl. Proof-of-Concept und einer Remote-Code-Execution gemeldet.4

Entweder stimmt etwas gravierendes mit den Microsoft Security- und Management-Prozessen nicht - was ich persönlich bei aller Aversion gegen Microsoft nicht denke - oder es bestand erst die Notwendigkeit einer umfassenden Konsultation und Abstimmung mit einer anderen Stelle. Denn es passierte nach Meldung und Bestätigung der Schwachstellen nichts.

Wer in den Kalender schaut, der weiß was zeitgleich am 06.01.2021 passierte5. Die USA mit Ihren Sicherheitsbehörden standen im Januar im Ausnahmezustand und einer Verfassungskrise mit einem lügenden Ex-Präsidenten, bewaffneten US-Truppen im Capitol und der Sorge von Aufständen in weiteren US-Städten. Abstimmungen zu Software-Schwachstellen rückten in Anbetracht dieser Situation in Ihrer Prioritöt vermutlich nach hinten.

Microsoft tauchte im Februar aus dem Nebel der Versenkung auf und kündigte für den März-Patchday ein Update an. Zwischenzeitlich gelangten auch die Chinesen in Kenntnis der Schwachstelle und nutzten diese gezielt aus. Daraufhin sah sich Microsoft genötigt, die Patches bereits am 03.03.2021 zu veröffentlichen.

Ich will China nicht in Schutz nehmen und frage mich, ob es die einzigen staatlichen Akteure in diesem Spiel sind. Die einseitige Attributierung lenkt meiner persönlichen Meinung nach vom Hauptproblem ab:

Die Sicherheit von Microsoft Produkten hängt vom Segen, Willen und Ressourcen der US-Sicherheitsbehörden ab.

Falsche Feindbilder

Das Narrativ der Nachrichtenmeldungen zeichnet üblicherwiese immer nur ein Bild. Betroffene Unternehmen sind die armen Opfer, aus dem Hinterhalt operierende Hacker die Verbrecher. In aufwändigen und komplexen Angriffen, ohne Vorwarnung oder Gnade, fallen sie über Ihre wehrlosen Ziele her.

Für die Betroffenen mag ein solches Narrativ vielleicht eine Brücke zu den verschiedenen Phasen der Trauer sein6. Mit der Realität hat es keine Gemeinsamkeit. Hacker sind normale Softwareentwickler und Admins mit Lernkurven, Fehlern7 und einem Geschäftsmodell. Das Geschäftsmodell gefällt uns nicht weil es allein auf der Tatsache begründet liegt, wie wir mit der Technik umgehen, welche Prioritäten wir setzen.

Das wird im Verhalten auf den veröffentlichten Code eines Sicherheitsforscher deutlich.8 Microsoft beweist eindrucksvoll, wie weit entfernt es von seinem Marketing und Commitment zu Open-Source ist und nichts von Transparenz und Peer-Reviews hält. Statt Schwachstellen in den eigenen Produkten zu beheben werden PoCs von Sicherheitsforschern gelöscht und sich zuerst mit staatlichen Akteuren besprochen.

Nicht Hacker bedrohen uns, das Closed-Source Geschäftsmodell und die unfreie Software großer Konzerne sind die Gefahr für unser digitales Zusammenleben.

Fehlende Fehlerkultur

Datenschutz im Speziellen und Informationssicherheit im Generellen haben für Microsoft und Unternehmen, die Microsoft-Produkte einsetzen, keine Priorität. Platt formuliert erkennen die Betroffenen nicht, wie elementar wichtig die Schutzziele Vertraulichkeit, Verfügbarkeit und Integrität aus der Informationssicherheit9 für sie sind.

Wo Digitalisierung nicht über das Stadium “Tausche Schreibmaschine gegen Notebook” kommt und die umgebenden Strukturen unverändert belässt, kann keine Sicherheit und vor allem keine Fehlerkultur reifen.

Wer ein Musterbeispiel für nicht vorhandene Fehlerkultur sehen will, möge einen Blick auf das Unternehmen Solarwind werfen. Die Geschäftsführung hat als Sündenbock einen einzelnen Mitarbeiter ausgemacht und für alles verantwortlich gemacht10. Das Unternehmen ist fertig. Keiner mit einer halbwegs funktionierenden grauen Murmel im Kopf wird dort für etwas Verantwortung übernehmen wollen.

Digitalisierung ohne primären Fokus auf die Schutzziele der Informationsischerheit wird zum Katalysator und Brandbeschleuniger der Unsicherheit.

In diesem Sinne,
Euer Tomas Jakobs


  1. https://www.bleepingcomputer.com/news/security/ransomware-now-attacks-microsoft-exchange-servers-with-proxylogon-exploits/ ↩︎

  2. https://blog.jakobs.systems/micro/20210305-exchange-meltdown/ ↩︎

  3. https://www.heise.de/news/Der-Hafnium-Exchange-Server-Hack-Anatomie-einer-Katastrophe-5077269.html ↩︎

  4. https://proxylogon.com/ ↩︎

  5. https://en.wikipedia.org/wiki/2021_storming_of_the_United_States_Capitol ↩︎

  6. https://de.wikipedia.org/wiki/Trauer ↩︎

  7. https://blog.jakobs.systems/micro/20210104-hacking-malware/ ↩︎

  8. https://www.heise.de/meinung/Kommentar-Microsoft-kann-Exchange-Exploits-nicht-weg-verbieten-5078647.html ↩︎

  9. https://de.wikipedia.org/wiki/Informationssicherheit ↩︎

  10. https://edition.cnn.com/2021/02/26/politics/solarwinds123-password-intern/index.html ↩︎

© 2021 Tomas Jakobs - Impressum und Datenschutzhinweis