Europäische Bankenaufsichtsbehörde von Angriffen auf Exchange-Server betroffen
Die Behörde schaltet ihre E-Mail-Systeme ab. Bisher findet sie keine Hinweise, dass die Angreifer Daten entwendet haben. Microsoft wusste offenbar bereits seit Anfang Januar von den Sicherheitslücken in Exchange Server.
Die Angriffswelle auf Exchange-Server weltweit hat ein weiteres prominentes Opfer gefunden. Die Europäische Bankenaufsichtsbehörde (EBA) räumte am Wochenende den Cyberangriff auf seine E-Mail-Systeme ein, die als Vorsichtsmaßnahme abgeschaltet wurden.
“Da die Sicherheitslücke mit den E-Mail-Servern der EBA zusammenhängt, könnte der Angreifer über die auf diesen Servern gespeicherten E-Mails Zugriff auf personenbezogene Daten erhalten haben. Die EBA arbeitet daran, herauszufinden, auf welche Daten, wenn überhaupt, zugegriffen wurde. Gegebenenfalls wird die EBA Informationen über Maßnahmen zur Verfügung stellen, die Betroffene ergreifen können, um mögliche negative Auswirkungen abzumildern”, teilte die Bankenaufsicht mit.
Zudem sei eine Untersuchung eingeleitet worden, unter anderem unter Beteiligung des eigenen IT-Anbieters sowie eines Teams aus Forensikexperten. Wie v berichtet, teilte die EBA gestern schließlich mit, dass bisher keine Hinweise auf einen Datendiebstahl gebe. Auch seien offenbar nur das E-Mail-System und keine weiteren Server betroffen.
Der Sicherheitsexperte Brian Krebs weist zudem in seinem Blog darauf hin, dass Microsoft schon seit 5. Januar von mindestens zwei der insgesamt vier Exchange-Lücken wusste. Sie wurden dem Unternehmen von einem Sicherheitsforscher namens Orange Tsai gemeldet, der für die Sicherheitsfirma Devcor arbeitet. Die ersten Angriffe identifizierte bereits einen Tag später der US-Sicherheitsanbieter Volexity, der sich allerdings erst am 2. Februar an Microsoft wandte. Später fand Veloxity Spuren, die darauf hindeuten, dass die Hacking-Kampagne bereits am 3. Januar startete.
Darüber hinaus wurde die dänische Sicherheitsfirma Dubex am 18. Januar nach eigenen Angaben auf Angriffe auf die Exchange-Server seiner Kunden aufmerksam. Dubex leitete seine Erkenntnisse am 27. Januar an Redmond weiter. Eine Bestätigung von Microsoft, dass es sich tatsächlich um Zero-Day-Lücken in Exchange Server handelt, will Dubex erst mit der Veröffentlichung der Notfall-Patches am 2. März erhalten haben.
Krebs geht zudem davon aus, dass die vier Schwachstellen mindestens seit zehn Jahren im Code von Exchange Server stecken. Microsoft habe nicht nur offiziell Exchange Server 2013, 2016 und 2019 gepatcht, sondern auch ein außerplanmäßiges Update für Exchange Server 2010 bereitgestellt – Exchange 2010 wird eigentlich von Microsoft nicht mehr unterstützt.