Ein Beitrag von Rolf Ramacher
Und das ist (noch) unbekannt.
Im Dezember 2020 erreichte die IT-Welt eine Nachricht von über eine Schwachstellenkombination in Exchange Servern, welche die Übernahme des Servers erlaubte.
Ausgeführt wurden die Angriffe von einer als Hafnium bekannt gewordenen Gruppe mit
Chinesischem Hintergrund.
Mitte Januar 2021 wurden erste Presseberichte im breiteren Medienspektrum dann veröffentlicht. Doch immer noch außerhalb des Fachpublikums gab es wenig Wissen um diesen Angriff. Während dessen waren primär amerikanische Firmen Ziel der Angriffe, und es wurden enorme Datenmengen erbeutet.
Was Anfang März 2021 Microsoft zu einer Mitteilung führte. Die Katze war aus dem Sack, doch ein effektiver Schutz war noch nicht gegeben. Patches mit effektiver Wirkung wurden erst Mitte März voll zugänglich und bekannt.
Wie immer bei erfolgreichen Aktionen gibt und gab es Trittbrettfahrer. Hafnium betrieb Datenraub, doch die Trittbrettfahrer hatten anderes im Sinn. Die Operation „Black Kingdom“ beispielsweise verlegte sich auf Verschlüsselungserpressung. Einfallstor: Der von Hafnium genutzte Angriff.
Und um die Zeitlinie ab zu schließen: Mitte April 2021 kam eine Erinnerung und dringender Hinweis von Microsoft, doch die Sicherheitspatches auf Exchange Servern zu installieren.
Auch wenn Microsoft schnell reagiert hat und sich der schweren Aufgabe angenommen hat hier wieder für Sicherheit zu sorgen. Die Datenlücken waren gravierend. Wie kann man sich davor schützen?
Genau hier trifft unser Kinderspiel. Wenn ich mehr sehe als jeder andere, so gewinne ich das Spiel. Das Spiel um die Sicherheit Ihrer Systeme.
Ein Weg diesem Angriff auf Exchange Server zu begegnen gelang mit Hilfe eines SIEM Systems. So konnten auffällige Kombinationen von normalen Servervorgängen sichtbar gemacht werden. Die Überprüfung solche Kombinationen zeigt Schwachstellen dann auf. Und am Ende kann so der Abfluss von Daten verhindert werden. Oder die Verschlüsselung der Daten zwecks Erpressung.
Die Konsequente Beobachtung von Servern und der ausgeführten Vorgänge generiert hierbei ein Muster, welches als normal eingestuft wird. Durch einfache Farbkodierung können so normale und neue Vorgänge unterschieden werden. Dies fügt dem Köcher der IT Security einen weiteren Pfeil zur Abwehr hinzu. Und wer hat das nicht gerne? Noch bevor große Anbieter mühsam einen neuen Sicherheitspatch programmiert haben ist man in der Lage den Angriff zu erkennen. Die Firewall wird dann entsprechend konfiguriert, oder mit Serverrichtlinien die Ausführung der suspekten Vorgänge unterbunden.
Wer mehr sieht, der weiß mehr. Auch über unbekannte Angreifer und Angriffe.
Autor:
Rolf Ramacher
Tel.: +49 2271 758 297
Mobil: +49 174 6779 639