Die Sicherheitsforscher von Check Point Research haben umgehend die jüngst entdeckte Zero-Day-Sicherheitslücken im Microsoft E-Mail-Exchange Server unter die Lupe genommen. Dabei haben die Experten eine Verdoppelung der Angriffe alle zwei oder drei Stunden festgestellt. Deutschland liegt auf Platz vier der am stärksten betroffenen Länder.
In den letzten 24 Stunden verdoppelten sich die Angriffe weltweit, welche die Sicherheitslücke ausnutzen möchten, alle zwei oder drei Stunden. Außerdem fanden sie heraus, welche Länder am stärksten betroffen sind. Auf Platz eins liegt die Türkei (19 Prozent), gefolgt von den Vereinigten Staaten (18 Prozent) und Italien (10 Prozent). Deutschland (7 Prozent) liegt noch auf dem vierten Platz.
Zusätzlich haben die Sicherheitsforscher die Attacken nach Branchen geordnet. Am stärksten gerät der Bereich Behörden und Militär (17 Prozent) ins Visier, danach Produktion (14 Prozent) und Banken (11 Prozent). Anfällig sind alle Unternehmen, die den Microsoft-E-Mail-Exchange-Server nutzen, der mit Microsoft Outlook als Postfach zusammenhängt. Hacker können Nachrichten mitlesen, ohne ein Konto eines Nutzers überhaupt stehlen zu müssen, oder sogar den Mail-Server völlig zu übernehmen.
Insgesamt sehen die Experten hunderte von Angriffen, die auf die vier kürzlich entdeckten Zero-Day-Sicherheitslücken (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065) reagieren. In Deutschland bestätigte das Bundesamt für Sicherheit in der Informationstechnik (BSI) gegenüber der Presse, dass sechs Bundesbehörden angegriffen wurden. „Dabei ist es in vier Fällen zu einer möglichen Kompromittierung gekommen“, so das BSI.
Über den Ablauf der Attacken konnten die Sicherheitsforscher in Erfahrung bringen, dass die Situation ähnlich zur Sunburst-Schwachstelle ist: Eine Plattform wird als heimliche Eingangstür in die Systeme der Unternehmen und Behörden genutzt. Die Zahl der möglichen Ziele liegt bei mehreren Zehntausend weltweit. Allerdings, so die Sicherheitsforscher, ist das nur äußerst fähigen und finanziell sehr gut ausgestatteten Hackern möglich.
Sie geben zusätzlich zu bedenken, dass entsprechend die erfolgreiche Durchführung der Attacke zwar beeindruckend ist, jedoch der Grund bislang unbekannt geblieben ist. Daher ist besondere Vorsicht geboten und sämtliche Netzwerke sollten auf Bedrohungen und Anomalien geprüft werden.
Zudem ist ein Patch erschienen, der umgehend installiert werden sollte, weil er nicht automatisch ausgespielt wird. Eine umfassende Sicherheitsarchitektur, die Intrusion Prevention System (IPS) und Schutz gegen Zero-Day-Attacken umfasst, bietet sich ebenfalls sehr an, um gegen diese Art von Angriffen generell gerüstet zu sein.