Aus dem Internet-Observatorium #13

Der Exchange-Hack und die kommende Erpressungswelle

Liebe Internet-Beobachtende,

vielen Dank fürs Öffnen und die Aufmerksamkeit, hier kommt Ausgabe #13.

Thema der Woche: Der Exchange-Hack und die kommende Erpressungswelle

Gerade findet ein Wettlauf statt: Zwischen Cyberkriminellen, die sich auf Phase 2 einer Hacker-Attacke vorbereiten, und Netzwerk-Administratoren, die ihre Systeme nach Einbruchspuren absuchen - um genau diese zweite Phase zu verhindern.

Es ist vorläufige der Höhepunkt eines noch jungen Jahres, das bereits einiges an Cybersicherheits-Vorfällen gesehen hat.

Was ist passiert? Am 5. März meldete der Investigativjournalist Brian Krebs, dass Zehntausende Organisationen über eine Sicherheitslücke in Microsofts Exchange-Software gehackt wurden. Exchange ist vereinfacht gesagt die Microsoft-Software, mit der selbstgehostete E-Mail-Server im Hintergrund Verkehr und Speicherung abwickeln, während die Nutzer im Frontend Outlook auf ihre E-Mails zugreifen.

Exchange-Server sind attraktiv für Hacker, weil sie ein zentraler Ablageort für alle E-Mails einer Firma oder Organisation sind.

Die Angreifer nutzten im aktuellen Fall gleich eine Kette von Zero-Day-Exploits: 1. Eindringen in den Server, indem dem Server vorgespielt wurde, von sich selbst angefunkt zu werden. 2. Eine manipulierte Sprachnachricht-Datei, in der sich ausführbare Kommando-Zeilen versteckten, die vom Server auch verarbeitet wurden (Microsoft macht immer mehr Dateiformate direkt ablagefähig, um Medienbrüche zu vermeiden) 3. Die Möglichkeit, dann auf dem Server eine Datei zu erstellen und diese 4. auch (siehe 2) auszuführen.  

Microsoft wusste bereits seit dem 5. Januar, dass die Sicherheitslücke existiert und ausgenutzt wurde. Firmenangaben zufolge nutzte zunächst die chinesische Digitalspionage-Gruppe ”Hafnium” die Lücke, um gezielt NGOs und Thinktanks anzugreifen. 

Am 18. Februar beschloss Microsoft, am 9. März einen Patch zu veröffentlichen - traditionell ist der zweite Dienstag jedes Monats „Patch-Tag“. Allerdings drangen diese Pläne offenbar vorher durch (oder wurden erahnt). Ende Februar fiel Sicherheitsforschern extreme Exchange-Aktivität auf: Unbekannte versuchten auf Zehntausenden Servern eine Web Shell zu installieren, also ein Skript für den Server-Fernzugriff via Browser - offenbar wissend, dass die Lücke bald geschlossen wird. Microsoft zog den Patch auf den 2. März vor, für viele Server zu spät: Denn installierte Web-Shell-Hintertüren existieren unabhängig von den Patches. 

Mindestens zehn professionelle Cyber-Gruppierungen sind aktiv, um die Exchange-Lücke zu nutzen, viele davon offenbar mit Verbindungen nach China. In Norwegen wurden Daten von den Servern des Parlaments gestohlen, eine Regierung im Nahen Osten wurde ebenso gehackt wie nicht näher genannte Öl- und Baufirmen im ostasiatischen Raum. In Deutschland sind mindestens 26.000 Server via Exchange ans Internet angebunden.

Das nun zu erwartende Szenario ist neben betrieblicher und politischer Spionage einmal mehr die übliche Cyber-Bandenkriminalität, in Form von Ransomware, also digitaler Erpressung. Wenn unentdeckte Web Shells auf den Servern liegen, können Kriminelle diese für den Zugriff auf das E-Mail-System nutzen. Und die gesamte Mail-Korrespondenz verschlüsseln, löschen oder damit drohen, sie zu veröffentlichen.

Auch wer sein System in die Cloud von Office 365 migriert hat, darf sich nicht zu sicher sein, verschont zu werden: Die vollständige Migration und Abschaltung von Exchange-Servern ist derart komplex, dass viele Organisationen diese womöglich gar nicht durchgeführt haben.

Anders als die SolarWinds-Spionage dürfte der Exchange-Hack auch jenseits des Fachpublikums Aufmerksamkeit finden. Ich erwarte in den nächsten Wochen einige prominente Ransomware-Fälle. Viele Organisationen werden ihr Mailsystem komplett neu aufsetzen müssen.

Der Fall wirft die Frage auf, warum Microsoft zunächst die Aktivitäten trotz exzessiver Telemtrie-Nutzung nicht selber erkannte und dann fast zwei Monate für den Patch brauchte, der zudem recht komplex war. Und, fast noch problematischer: Wussten die Angreifer von Ende Februar bereits, dass der Patch ansteht? Der Sicherheitsexperte Bruce Schneier vermutet:

“We know that Microsoft shares advance information about updates with some organizations. I have long believed that they give the NSA a few weeks’ notice to do basically what the Chinese did: use the exploit widely, because you don’t have to worry about losing the capability.”

Das Jahr 2021 ist bereits jetzt geprägt von Angriffsvektoren, die entweder neu, seltsam oder besonders effektiv sind. Google-Sicherheitsforscher zählen für dieses Jahr 13 aufgetauchte Zero-Day-Exploits, im gesamten Jahr 2020 waren es nur 24. Mark Pesce zählt einige aktuelle Fälle in seiner aktuellen Kolumne auf:

”We see the SolarWinds hack, described as a “digital Pearl Harbor”, so extensive is its scope. And the hits keep on coming, from odd malware worming its way into tens of thousands of macOS systems, to motherboards that allegedly record and transmit data back to servers in China, and even corrupted dependencies in the software stacks used by - well, pretty much everyone, everywhere.”

Die fortschreitende Digitalisierung schafft neue Vernetzungen, Daten von Interesse und gleichzeitig Anreize, Angriffsvektoren zu finden und auch als Staat in entsprechende Kapazitäten zu investieren.

Die Vektoren zielen auf Code-Teile, die weit, weit unten im Software-Fundament einer Anwendung angesiedelt sind, oft auch durch das Zusammenspiel mit neuen Komponenten entstehen. Machine Learning verspricht hier einerseits bessere Cyber-Warnsysteme, andererseits deutet sich ein Wettrüsten zwischen Angreifern und Verteidigern an.

Besonders frustrierend: In den meisten Fällen gibt es niemanden, der zur Verantwortung gezogen wird. Das hängt damit zusammen, dass der Schaden physisch unsichtbar ist - anders als bei einem Brückeneinsturz oder einem Dammbruch. Zugleich ist die Software-Welt fluide: Hersteller bauen Systeme um, verändern sie in Teilbereichen, übernehmen lizensierten Code. In dem Sinne gibt es oft keine Verantwortlichen, wie es bei physischen Bauwerken Architekten oder Ingenieure sind. Auch der CIO einer betroffenen Firma kann für solche Sicherheitslücken nichts, es sei denn, er hat veraltete Software verwendet oder gefährliche Modifizierungen erlaubt.

Das wäre das Argument, stärkere Hersteller-Haftungsregeln für Sicherheitslücken einzuführen. Dagegen spricht, dass wir so die Software-Entwicklung zum Stillstand bringen könnten. Aber natürlich ist es bizarr, dass Microsoft den Exchange-Hack gegenüber Kunden sogar als Marketing-Argument verwenden kann, seine Mails in der Microsoft-Cloud zu speichern.

Software isst die Welt, und das als unfertige Technologie. Dafür braucht es viel Personal, das dementsprechend fachlich oft ebenfalls unfertig ist. Und manchmal auch gar nichts in der Nähe eines Compilers verloren haben sollte.

Und trotz dieser Schwäche bauen wir System auf System, Komplexität auf Komplexität: Selbst die größten Fachmenschen können keinen Überblick mehr über Gesamtarchitekturen und Abhängigkeiten behalten, und selbst die besten WhiteHats haben nur 24 Stunden am Tag, um Sicherheitslücken zu entdecken (insofern ist es eine gute Nachricht, dass diese Zero-Day-Exploits entdeckt wurden).

Wenn wir uns also die Gesamtstruktur ansehen, sind immer folgenreichere Cyberangriffe keine Überraschung; eine Überraschung wäre es, wenn mit dem massiven Exchange-Hack bereits das Ende der Fahnenstange erreicht wäre.


Hashtags /zl;ng

#InternationaleNetzpolitik Youtube hat vier TV-Kanäle gesperrt, die vom Militär Myanmars betrieben werden; Indien verlangt von WhatsApp, Botschaften seiner Nutzer zu speichern und im Zweifelsfall an die Regierung zu übergeben; Russland hat Twitter gedrosselt, weil über die Plattform angeblich illegale Inhalte verbreitet wurden.

#Geopolitik China will seine Ausgaben für Forschung und Entwicklung jährlich um sieben Prozent steigern. Das Land strebt an, technologisch unabhängig von US-Software und -Komponenten zu werden. Damit steigt das R&D-Budget im Fünfjahresplan erstmals stärker als die Militärausgaben.

#US-Wettbewerbspolitik US-Präsident Joe Biden hat Tim Wu zum Regierungsberater gemacht, Vanita Gupta für einen hochrangigen Posten im Justizministerium nominiert, Lina Khan wird der Wettbewerbsbehörde FTC angehören. Alle drei gelten als Kritiker/Kritikerinnen der Marktdominanz amerikanischer Tech-Konzerne.

#Supercomputer Fugaku, der derzeit leistungsstärkste Supercomputer, ist in Japan in den Regelbetrieb gegangen und hat damit begonnen, eine Projektliste internationaler Forschungsgruppen abzuarbeiten.

#Metaversum Die Spieleplattform Roblox ist in den USA an die Börse gegangen. Roblox gilt neben Fortnite als derzeit aussichtsreichster Kandidat, die erste Stufe eines gemeinsamen virtuellen Raumes (Metaversum) zu werden.

#Streaming Jack Dorseys Bezahldienstleister Square hat Jay Z.’s Musikstreamingdienst Tidal gekauft. Square hat dem Vernehmen nach mit seiner P2P-Finanztransaktionssoftware Cash App bereits in der schwarzen Community Fuß gefasst, zudem gehören Square Anteile am Ticket-Dienstleister Eventbrite.

Linktipps

Google’s Colosseum

Eine ausführliche Auseinandersetzung mit dem Thema “Repräsentationen von gesellschaftlichen Vorurteilen in Machine Learning”.

For Creators, Everything Is For Sale

Taylor Lorenz über den neuesten Monetarisierungstrend: Follower bezahlen und entscheiden, was Influencer in ihrem Alltag tun. Creepy.

Butler On Machines

David Runciman in seinem Ideengeschichten-Podcast über Samuel Butlers Buch Erewhon, das sich im Jahr 1872 bereits mit intelligenten Maschinen beschäftigte.


Vielen Dank für die Aufmerksamkeit und bis Ausgabe #14!

Johannes

Bild: MattyPerezDJ, CC by-sa/4.0