Angriffe auf Exchange-Server: Microsoft prüft mögliches Datenleck bei Sicherheitspartner

Daten Gesicht (Bild: ZDNet.com)

Auslöser sind Ähnlichkeiten zwischen Exploit-Tools von Hackern und vertraulich mit Partnern geteiltem Beispielcode. Sicherheitspartner verfügen bereits seit 23. Februar über diesen Code.

Microsoft hat einen Bericht des Wall Street Journal bestätigt, wonach das Unternehmen nach einem möglichen Datenleck bei einem Sicherheitspartner sucht. Es könnte die aktuelle Angriffswelle auf Exchange Server verstärkt haben. Demnach gibt es wohl Ähnlichkeiten zwischen für die Attacken benutzten Exploit-Tools und einem Proof-of-Concept, den Microsoft vorab seinen Partnern zur Verfügung gestellt hatte.

Am 2. März hatte der Softwarekonzern einen Notfall-Patch für vier Zero-Day-Lücken in Exchange Server veröffentlicht. Im Januar war Microsoft über die Schwachstellen informiert wurden, die eine mutmaßlich aus China stammende Gruppe namens Hafnium für zielgerichtete Attacken eingesetzt haben soll.

Im Rahmen der Entwicklung von Patches teilt Microsoft Informationen mit rund 80 Unternehmen, die dem Microsoft Active Protections Program angehören. Dazu gehören Anbieter von Antivirensoftware und auch Cybersicherheitsfirmen. Sie erhielten dem Bericht zufolge bereits am 23. Februar von Microsoft entwickelten Beispielcode für einen Exploit.

Ein Microsoft-Sprecher erklärte gegenüber ZDNet.com, das man sich nun anschaue, was möglicherweise die Zunahme der gefährlichen Aktivitäten ausgelöst habe. Bisher habe man aber noch keine Schlüsse gezogen. “Es gibt keine Hinweise auf ein Datenleck bei Microsoft in Bezug auf diese Angriffe.”

Zwar liegen inzwischen Patches für alle unterstützten und auch für nicht mehr unterstützte Exchange Server vor, deren Installation ist allerdings nicht in der Lage, bereits laufende Angriffe zu beenden. Zu diesem Zweck stellt Microsoft eine Liste mit Indikatoren zur Verfügung, die auf eine mögliche Kompromittierung hindeuten können.

Darüber hinaus arbeitet Microsoft nach eigenen Angaben mit RiskIQ zusammen, um Exchange Server aufzuspüren, die ungepatcht und über das Internet erreichbar sind – also immer noch anfällig für einen Angriff sind. Derzeit sollen noch über 80.000 Server auf die Notfall-Patches warten.

“Microsoft ist fest entschlossen, seine Kunden gegen diese Angriffe zu unterstützen, unseren Sicherheitsansatz weiterzuentwickeln und eng mit Regierungen und der Sicherheitsindustrie zusammenzuarbeiten, um die Sicherheit unserer Kunden und Gemeinschaften zu gewährleisten”, teilte der Softwarekonzern mit.