Hafnium
72Hf - was bitte?
Hafnium, ist das nicht ein Übergangsmetall mit der Ordnungszahl 72? Korrekt, aber um dieses schöne Element geht es ausnahmsweise nicht, sondern um eine Schwachstelle und übergreifendes Versagen sowohl bei Microsoft als auch bei vielen Firmen weltweit, die Administratoren und IT-Sicherheitsfachleute Anfang 2021 für einige Monate in Atem hielt. Doch der Reihe nach!
Chronik des Versagens
Am 03.03.2021 veröffentlichte Microsoft ein Sicherheitsupdate, das eine Handvoll Schwachstellen im hauseigenen Mailserver Exchange schlossen. Administratoren und Kenner der Microsoft-Updatestrategie werden hier schon aufhorchen, weicht doch der Termin stark von den sonst Mitte des Monats stattfindenden Regelupdates ab. Solche Abweichungen sind selten und haben meist gewichtige Gründe, die ein schnelles Handeln der Betreiber von Microsoft-Servern erfordert.
So war es auch hier. Während Microsoft anfangs den Schweregrad der behobenen Sicherheitslücken noch herunterspielte, rief das Bundesamt für Sicherheit in der Informationstechnik (BSI) relativ schnell die Alarmstufe Rot aus. Doch was war eigentlich geschehen und wie konnte es im Laufe der folgenden Tage und Wochen zu einem weltweiten Chaos kommen?
Wir gehen ein paar Monate zurück ins Jahr 2020, wo Mitte Dezember Sicherheitsforscher des Taiwanesischen Unternehmens Devcore eine Schwachstelle in Exchange fanden, die sie ProxyLogon nannten. Mit dieser konnten sie die Anmeldung am Server aushebeln und sich mit administrativen Rechten auf dem Exchange bewegen. Im Rahmen der Untersuchung dieser Thematik entdeckten sie eine weitere Schwachstelle, mittels derer sich Schadprogramme direkt auf dem Exchange ausführen ließen. Für einen Administratoren ist so etwas normalerweise der worst case, da sich das System damit komplett in Angreiferhand befinden kann. Devcore jedenfalls tat das einzig Richtige (meiner Meinung nach, jedenfalls), baute einen sogenannten proof of concept, also eine lauffähige Demonstration des Angriffspfades, und schickte diesen am 05.01.2021 an Microsoft. damit die Sicherheitslücke gestopft werden konnte.
Microsoft bestätigte die Schwachstelle auch innerhalb weniger Tage und reagierte darüber hinaus innerhalb weniger Wochen… nicht. Bis Anfang Februar 2021 stand kein Sicherheitsupdate bereit, Microsoft vertröstete die Sicherheitsforscher auf den 09.03.2021, also den nächsten Patch Day, nachdem der letzte ohne Bugfix verstrichen war. Kurzfristig wurde die Veröffentlichung schließlich auf den 03.03.2021 vorgelegt. Die Sicherheitslücke war zu diesem Zeitpunkt bereits seit drei Monaten bekannt.
Man könnte meinen, dass damit alles gut sei, die Sicherheitslücke war gepatcht, wenn auch spät, und alle sind mit einem blauen Auge davon gekommen. Doch weit gefehlt!
And so it begins
Bereits Anfang Januar 2021 beobachtete die Sicherheitsfirma Volexity, dass Exchange-Server über eine bis dahin unbekannte Sicherheitslücke angegriffen wurden. Es handelte sich um die bereits einige Tage vorher auch von Devcore entdeckte Schwachstelle. Ende Januar meldeten Sicherheitsforscher der Firmen Dubex und Trend Micro die ersten beobachteten Angriffe auf Exchange-Server und berichteten von installierten Webshells, also von den Angreifern abgelegten Scripten für einen persistenten Zugang zu den kompromittierten Servern. Auch Volexity meldete separat die Schwachstelle Anfang Februar 2021 an Microsoft. Spätestens ab diesem Zeitpunkt wusste der Hersteller also nachweisbar von der Schwachstelle und deren Ausnutzung, wobei man sich die Frage stellen darf, ob (und wenn nicht: wieso) die hauseigenen Lösungen wie z.B. Microsoft Defender for Endpoint die Angriffe nicht schon ab Anfang Januar nach Redmont gemeldet haben. Sicher, nicht jeder hat dieses kostenpflichtige Zusatzpaket auf seinen Systemen installiert, aber dass kein einziger der Betroffenen es im Einsatz gehabt haben soll? Unwahrscheinlich.
Wieder geschah einen Monat lang nichts. Ende Februar geschah dann doch etwas, aber nicht das, was sich viele Windows-Administratoren mit Sicherheit gewünscht hätten. Es kam kein Notfallupdate seitens Microsoft, sondern ein breit angelegter Massenscan, die die weitestgehend schutzlos im Internet stehenden Exchange-Server identifizierte (merke: Nicht infizierte, das beschränkte sich noch auf wenige Systeme). Knapp eine Woche später veröffentlichte Microsoft das ersehnte Update, doch die Angreifer reagierten schnell. Nur wenige Stunden, nachdem das außerplanmäßige Notfall-Update freigegeben wurde, setzte eine Angriffswelle ein, die die bis dahin als verwundbar identifizierten Exchange-Server überrollte. Die wenigsten Administratoren hatten zwischen Veröffentlichung des Patches und dem Start des Angriffs Zeit, die Patches einzuspielen. Viele mögen die Veröffentlichung auch gar nicht auf dem Plan gehabt haben, da sie außerplanmäßig erfolgte.
Aber auch die, die es rechtzeitig schafften, den Patch einzuspielen, waren unter Umständen nicht aus dem Schneider: Der Patch schloss die Lücke unter bestimmten Umständen nur unvollständig und so blieben auch viele gepatchte Systeme verwundbar. Einige Systeme ließen die Installation des Patches gar nicht erst zu, da sie einige dafür benötigte Updates nicht installiert hatten - eine Abhängigkeit, die Microsoft wieder erst Tage später, am 09.03.2021 entfernte und so die Installation des Patches auch auf Systemen mit älterem Updatestand zuließ.
Was folgte waren die wohl turbulentesten Wochen und Monate in der IT-Welt des Jahres 2021. Auch heute, Jahre später, verziehen viele Systemverantwortliche das Gesicht, wenn sie das Wort “Hafnium” hören. Hunderttausende Server weltweit waren kompromittiert, alleine in Deutschland dürften es zehntausende gewesen sein. IT- und Krisendienstleister unterstützten die Administratoren mit Rat und Tat sowie mit täglich aktualisierten Informationen und Leitfäden, um eine Kompromittierung der Server erkennen udn beseitigen zu können. Gerade diese Dienstleister kamen während der ersten Jahreshälfte an ihre personellen Grenzen, um die Flut der Anfragen abfangen zu können.
Aftermath & lessons learned
Kurioserweise sorgte vermutlich alleine die Masse der infizierten Systeme dafür, dass viele Unternehmen keinen langfristigen Schaden davon getragen haben. Die Angreifer konnten nicht gleichzeitig eine sechs- bis siebenstellige Anzahl von Servern übernehmen und beließen es in vielen Fällen vorerst dabei, die für sie uninteressanten Systeme nur mit einer Backdoor zu versehen und sich auf die Ziele zu konzentrieren, bei denen sie fette Beute erwarteten. Das verschaffte den anderen Unternehmen Zeit, die Systeme zu überprüfen, zu bereinigen oder neu aufzusetzen.
Am Ende bleibt ein bitterer Nachgeschmack und die Frage, wer die Hauptschuld an diesem Desaster trägt. Sicherheitsforscher und auf IT-Sicherheit spezialisierte Firmen wie Devcore, Volexity, Dubex, Trend Micro und viele andere, die die Schwachstellen schnell und mit allen nötigen Informationen an Microsoft gemeldet hatten, haben sich vorbildlich verhalten. Microsoft verschlief die Bereitstellung eines Patches für mehrere Monate und schaffte es zudem nicht einmal, mit dem ersten Patch die Sicherheitslücke komplett zu schließen, geschweige denn den Patch so auszuliefern, dass er auch auf Systemen mit Patchrückstand installiert werden konnte. Auch die anfängliche Verharmlosung der Thematik, obwohl bei Microsoft längst das Ausmaß der Angriffe bekannt gewesen sein dürfte, führte dazu, dass Administratoren die Bedrohung nicht ernst nahmen.
Doch nur mit dem Finger auf Microsoft zu zeigen wäre zu einfach, denn auch schlecht gewartete Server auf Kundenseite sowie die teilweise komplett fehlende oder nicht ausreichende Absicherung der Systeme, die oft direkt aus dem Internet erreichbar waren, erleichterte den Angreifern den Angriff enorm. Hier taten sich häufig dieselben Abgründe wie bei nahezu jedem Sicherheitsvorfall auf, bei dem schlecht gewartete Systeme eine Rolle spielten: Schlecht ausgebildete Administratoren, fehlende Sicherheitsinfrastruktur, keine Überwachung der Systeme auf Anomalien. Und wie so häufig waren die Gründe: Kein Geld, keine Zeit, kein Personal. Ein deutlicher Weckruf für die Entscheider in allen Unternehmen: IT-Sicherheit richtig zu machen kostet Geld, aber nicht so viel, wie ein großer Vorfall kostet.