Gerade findet ein Wettlauf statt: Zwischen Cyberkriminellen, die sich auf Phase 2 einer Hacker-Attacke vorbereiten, und Netzwerk-Administratoren, die ihre Systeme nach Einbruchspuren absuchen – um genau diese zweite Phase zu verhindern.
Es ist vorläufige der Höhepunkt eines noch jungen Jahres, das bereits einiges an Cybersicherheits-Vorfällen gesehen hat.
Was ist passiert? Am 5. März meldete der Investigativjournalist Brian Krebs, dass Zehntausende Organisationen über eine Sicherheitslücke in Microsofts Exchange-Software gehackt wurden. Exchange ist vereinfacht gesagt die Microsoft-Software, mit der selbstgehostete E-Mail-Server im Hintergrund Verkehr und Speicherung abwickeln, während die Nutzer im Frontend Outlook auf ihre E-Mails zugreifen.
Exchange-Server sind attraktiv für Hacker, weil sie ein zentraler Ablageort für alle E-Mails einer Firma oder Organisation sind.
Die Angreifer nutzten im aktuellen Fall gleich eine Kette von Zero-Day-Exploits: 1. Eindringen in den Server, indem dem Server vorgespielt wurde, von sich selbst angefunkt zu werden. 2. Eine manipulierte Sprachnachricht-Datei, in der sich ausführbare Kommando-Zeilen versteckten, die vom Server auch verarbeitet wurden (Microsoft macht immer mehr Dateiformate direkt ablagefähig, um Medienbrüche zu vermeiden) 3. Die Möglichkeit, dann auf dem Server eine Datei zu erstellen und diese 4. auch (siehe 2) auszuführen.
Microsoft wusste bereits seit dem 5. Januar, dass die Sicherheitslücke existiert und ausgenutzt wurde. Firmenangaben zufolge nutzte zunächst die chinesische Digitalspionage-Gruppe ”Hafnium” die Lücke, um gezielt NGOs und Thinktanks anzugreifen.
Am 18. Februar beschloss Microsoft, am 9. März einen Patch zu veröffentlichen – traditionell ist der zweite Dienstag jedes Monats „Patch-Tag“. Allerdings drangen diese Pläne offenbar vorher durch (oder wurden erahnt). Ende Februar fiel Sicherheitsforschern extreme Exchange-Aktivität auf: Unbekannte versuchten auf Zehntausenden Servern eine Web Shell zu installieren, also ein Skript für den Server-Fernzugriff via Browser – offenbar wissend, dass die Lücke bald geschlossen wird. Microsoft zog den Patch auf den 2. März vor, für viele Server zu spät: Denn installierte Web-Shell-Hintertüren existieren unabhängig von den Patches.
Mindestens zehn professionelle Cyber-Gruppierungen sind aktiv, um die Exchange-Lücke zu nutzen, viele davon offenbar mit Verbindungen nach China. In Norwegen wurden Daten von den Servern des Parlaments gestohlen, eine Regierung im Nahen Osten wurde ebenso gehackt wie nicht näher genannte Öl- und Baufirmen im ostasiatischen Raum. In Deutschland sind mindestens 26.000 Server via Exchange ans Internet angebunden.
Das nun zu erwartende Szenario ist neben betrieblicher und politischer Spionage einmal mehr die übliche Cyber-Bandenkriminalität, in Form von Ransomware, also digitaler Erpressung. Wenn unentdeckte Web Shells auf den Servern liegen, können Kriminelle diese für den Zugriff auf das E-Mail-System nutzen. Und die gesamte Mail-Korrespondenz verschlüsseln, löschen oder damit drohen, sie zu veröffentlichen.
Auch wer sein System in die Cloud von Office 365 migriert hat, darf sich nicht zu sicher sein, verschont zu werden: Die vollständige Migration und Abschaltung von Exchange-Servern ist derart komplex, dass viele Organisationen diese womöglich gar nicht durchgeführt haben.
Anders als die SolarWinds-Spionage dürfte der Exchange-Hack auch jenseits des Fachpublikums Aufmerksamkeit finden. Ich erwarte in den nächsten Wochen einige prominente Ransomware-Fälle. Viele Organisationen werden ihr Mailsystem komplett neu aufsetzen müssen.
Der Fall wirft die Frage auf, warum Microsoft zunächst die Aktivitäten trotz exzessiver Telemtrie-Nutzung nicht selber erkannte und dann fast zwei Monate für den Patch brauchte, der zudem recht komplex war. Und, fast noch problematischer: Wussten die Angreifer von Ende Februar bereits, dass der Patch ansteht? Der Sicherheitsexperte Bruce Schneier vermutet:
“We know that Microsoft shares advance information about updates with some organizations. I have long believed that they give the NSA a few weeks’ notice to do basically what the Chinese did: use the exploit widely, because you don’t have to worry about losing the capability.”
Das Jahr 2021 ist bereits jetzt geprägt von Angriffsvektoren, die entweder neu, seltsam oder besonders effektiv sind. Google-Sicherheitsforscher zählen für dieses Jahr 13 aufgetauchte Zero-Day-Exploits, im gesamten Jahr 2020 waren es nur 24. Mark Pesce zählt einige aktuelle Fälle in seiner aktuellen Kolumne auf:
”We see the SolarWinds hack, described as a “digital Pearl Harbor”, so extensive is its scope. And the hits keep on coming, from odd malware worming its way into tens of thousands of macOS systems, to motherboards that allegedly record and transmit data back to servers in China, and even corrupted dependencies in the software stacks used by – well, pretty much everyone, everywhere.”
Die fortschreitende Digitalisierung schafft neue Vernetzungen, Daten von Interesse und gleichzeitig Anreize, Angriffsvektoren zu finden und auch als Staat in entsprechende Kapazitäten zu investieren.
Die Vektoren zielen auf Code-Teile, die weit, weit unten im Software-Fundament einer Anwendung angesiedelt sind, oft auch durch das Zusammenspiel mit neuen Komponenten entstehen. Machine Learning verspricht hier einerseits bessere Cyber-Warnsysteme, andererseits deutet sich ein Wettrüsten zwischen Angreifern und Verteidigern an.
Besonders frustrierend: In den meisten Fällen gibt es niemanden, der zur Verantwortung gezogen wird. Das hängt damit zusammen, dass der Schaden physisch unsichtbar ist – anders als bei einem Brückeneinsturz oder einem Dammbruch. Zugleich ist die Software-Welt fluide: Hersteller bauen Systeme um, verändern sie in Teilbereichen, übernehmen lizensierten Code. In dem Sinne gibt es oft keine Verantwortlichen, wie es bei physischen Bauwerken Architekten oder Ingenieure sind. Auch der CIO einer betroffenen Firma kann für solche Sicherheitslücken nichts, es sei denn, er hat veraltete Software verwendet oder gefährliche Modifizierungen erlaubt.
Das wäre das Argument, stärkere Hersteller-Haftungsregeln für Sicherheitslücken einzuführen. Dagegen spricht, dass wir so die Software-Entwicklung zum Stillstand bringen könnten. Aber natürlich ist es bizarr, dass Microsoft den Exchange-Hack gegenüber Kunden sogar als Marketing-Argument verwenden kann, seine Mails in der Microsoft-Cloud zu speichern.
Software isst die Welt, und das als unfertige Technologie. Dafür braucht es viel Personal, das dementsprechend fachlich oft ebenfalls unfertig ist. Und manchmal auch gar nichts in der Nähe eines Compilers verloren haben sollte.
Und trotz dieser Schwäche bauen wir System auf System, Komplexität auf Komplexität: Selbst die größten Fachmenschen können keinen Überblick mehr über Gesamtarchitekturen und Abhängigkeiten behalten, und selbst die besten WhiteHats haben nur 24 Stunden am Tag, um Sicherheitslücken zu entdecken (insofern ist es eine gute Nachricht, dass diese Zero-Day-Exploits entdeckt wurden).
Wenn wir uns also die Gesamtstruktur ansehen, sind immer folgenreichere Cyberangriffe keine Überraschung; eine Überraschung wäre es, wenn mit dem massiven Exchange-Hack bereits das Ende der Fahnenstange erreicht wäre.