Microsoft hat am Mittwoch den 3.3.2021 vier außerplanmäßige Patches bereitgestellt, die bereits am 3.3/4.3.2021 aktiv von vielen Angreifern ausgenutzt wurden:
Nach Informationen von Microsoft wurden die vier Schwachstellen bereits in einem gezielten Angriff von der chinesischen Hackergruppe Hafnium ausgenutzt.
Für einen erfolgreichen Angriff werden die vier Zero Day Schwachstellen miteinander verkettet, um Zugang zum Microsoft Exchange Server zu erhalten.
Initial muss ein Zugriff auf den Exchange Server via Port 443 (also per https) verfügbar sein um CVE-2021-26855 auszunutzen. Danach werden in weiteren Schritten CVE-2021-26857, CVE-2021-26858 und CVE-2021-27065 ausgenutzt.
CVE-2021-26855 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26855
CVE-2021-26857 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26857
CVE-2021-26858 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26858
CVE-2021-27065 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-27065
Bei den Updates ist zu beachten, dass durch u.U. ein Active-Directory Schema Update notwendig wird, was ein schnelles Patchen doch etwas komplizierter macht.
Besonders in Deutschland sind laut dem BSI sehr viele Exchange-Server verwundbar (durch die skeptische Cloudhaltung in Deutschland). Die Microsoft 365 Umgebung scheint von der Sicherheitslücke nicht betroffen zu sein.
Verschiedene Meldungen gehen davon aus, dass nach dem 5.3.2021 gepatchte Systeme als „befallene“ Systeme gelten.
Update 21.3.2021 – BSI aktualisiert den Link regelmäßig
Das BSI hat zur Lücke eine sehr ausführliche Beschreibung (auch mit Workarounds) zusammengestellt:
Link BSI Pressemeldung
Update 21.3.2021 – Statement vom Baden-Württembergischen Landesdatenschutzbeauftragten: