Microsoft afferma che gli hacker cinesi sono responsabili degli attacchi di scambio

Microsoft sagt, chinesische Hacker seien für Exchange-Angriffe verantwortlich

Microsoft hatte am Dienstag eine Warnung für seine Kunden und ruft mutig die schlechten Schauspieler heraus. Laut Microsoft stehen chinesische Hacker hinter Exchange-Angriffen. Das Unternehmen behauptet, amerikanische Unternehmen seien von der Ausnutzung eines Fehlers im E-Mail-Produkt betroffen gewesen.

Chinesische Angreifer nutzen Microsoft Exchange

Microsoft machte darauf aufmerksam Vier Zero-Day-Schwachstellen, die kürzlich entdeckt wurden. Das Unternehmen verband die Exchange-Angriffe mit Patches und einer Liste von Kompromissindikatoren.

Forscher des Unternehmens haben die Hacking-Gruppe als “HAFNIUM” bezeichnet. Sie erklärten, die Gruppe sei ein „hochqualifizierter und hoch entwickelter Schauspieler“ mit Schwerpunkt auf Spionage durch Datendiebstahl. Es ist bekannt, dass HAFNIUM mehrere US-amerikanische Unternehmen verfolgt, darunter “Forscher für Infektionskrankheiten, Anwaltskanzleien, Hochschuleinrichtungen, Verteidigungsunternehmen, politische Think Tanks und NGOs”, so die Forscher.

Die Exchange-Angriffe haben zur Datenexfiltration von E-Mail-Konten geführt. Die Hacker erhalten Zugang zu einem Exchange-Server, indem sie null Tage nutzen. Sie verwendeten oft eine Web-Shell und entführten die Server aus der Ferne. Dadurch können sie Daten aus einem zugeordneten Netzwerk stehlen. Microsoft sagte, diese Angriffe seien von privaten Servern in den USA aus gestartet worden.

Tom Burt, Corporate Vice President für Kundensicherheit bei Microsoft, forderte Exchange-Kunden auf, die Sicherheitslücken schnell zu aktualisieren. „Obwohl wir schnell daran gearbeitet haben, ein Update für die HAFNIUM-Exploits bereitzustellen, wissen wir, dass viele nationalstaatliche Akteure und kriminelle Gruppen schnell handeln werden, um alle nicht gepatchten Systeme zu nutzen. Das sofortige Anwenden der heutigen Patches ist der beste Schutz gegen diesen Angriff “, sagte er.

Forscher von zwei verschiedenen Sicherheitsfirmen, Volexity und Dubex, machten Microsoft auf die Exchange-Angriffe aufmerksam. Die Volexity-Forscher fanden Hinweise auf die Angriffe am 6. Januar.

Microsoft Exchange greift Daten an

In einem Blogbeitrag sagten die Forscher: „Durch die Analyse des Systemspeichers stellte Volexity fest, dass der Angreifer eine Zero-Day-Sicherheitsanfälligkeit bezüglich serverseitiger Anforderungsfälschung (SSRF) in Microsoft Exchange (CVE-2021-26855) ausnutzt. Der Angreifer nutzte die Sicherheitsanfälligkeit, um den vollständigen Inhalt mehrerer Benutzerpostfächer zu stehlen. Diese Sicherheitsanfälligkeit kann remote ausgenutzt werden und erfordert weder eine Authentifizierung noch spezielle Kenntnisse oder den Zugriff auf eine Zielumgebung. Der Angreifer muss nur wissen, auf welchem ​​Server Exchange ausgeführt wird und von welchem ​​Konto er E-Mails extrahieren möchte. “

Nicht mit “SolarWinds” verbunden

Microsoft hat es in letzter Zeit aus allen Blickwinkeln bekommen. Sie sind auch in das SolarWinds-Chaos verwickelt. Nach Angaben des Unternehmens ist der Exchange-Angriff jedoch nicht mit Solar Winds verbunden.

Es wurde nicht bekannt gegeben, wie viele Unternehmen von den Exchange-Angriffen betroffen waren. Es wird auch angenommen, dass HAFNIUM möglicherweise nicht alleine handelt und dass möglicherweise mehr involviert sind. Die Bundesbehörden wurden über die Börsenangriffe auf dem Laufenden gehalten.

Lesen Sie die Warnung, die Microsoft im vergangenen Herbst bezüglich eines Anstiegs der Cyberangriffe aufgrund der Pandemie herausgegeben hat.