Exchange-Exploit: Microsoft untersucht, wie Hacker an den Code kamen

Microsoft geht den neuesten Informationen zufolge Hinweisen nach, nach denen die Probleme rund um die Schwachstelle in Exchange erst es­kalierten, nachdem der Konzern seine Partner informiert hatte. Die Vermutung liegt nahe, dass es eine undichte Stelle gab.

Das geht aus einem neuen Bericht des Wall Street Journals hervor. Microsoft untersucht demnach, ob die Hacker, die hinter dem weltweiten Cyberangriff auf die Exchange-Sicherheitslücke stecken, möglicherweise interne Informationen aus dem Konzern erhalten haben. Microsoft vermutet laut dem Wall Street Journal, dass eine undichte Stelle mit Schuld an den raschen und gezielten Angriffen auf Exchange-Nutzer weltweit sei.

Geheimnisverrat oder ein Hack?

Die Hacker könnten über die informierten Partner oder über eine Quelle bei Microsoft selbst in Besitz aller für den Angriff notwendigen Details gekommen sein. Ob es dabei um einen aktiven Geheimnisverrat oder zum Beispiel um einen gehackten Mitarbeiter geht, der ohne es zu wissen die Information "abfließen" ließ, ist derzeit noch komplett unklar. Unklar ist natürlich auch, ob etwas hinter dieses Theorie steckt, denn mehr als eine Theorie ist es derzeit nicht.

Die Ermittler konzentrieren sich auf die Frage, ob ein Microsoft-Partner oder Mitarbeiter Informationen versehentlich oder absichtlich an andere Gruppen weitergegeben hat. Aufgrund der kritischen Sicherheitslage wird derzeit in alle Richtungen ermittelt und es gibt nur wenige offizielle Informationen zu den Hintergründen. Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) hatte den Vorfall als IT-Be­dro­hungs­la­ge der Stufe 4/Rot eingeordnet, der höchsten Warnstufe des BSI.

Informationen von Microsoft

Laut dem Wall Street Journal konzentriert sich die Untersuchung nun erst einmal auf die Frage, wie der erste Angriff der Anfang Januar begann, an Fahrt aufnehmen konnte. Das war genau in der Woche, bevor das Unternehmen in der Lage war, einen Software-Fix an Kunden zu senden. In dieser Zeit verschafften sich soweit das bekannt ist regierungsnahe chinesische Hackergruppen bereits die nötigen Werkzeuge, die es ihnen dann erst ermöglichten, weitreichende Cyberangriffe zu starten.

Einige der Werkzeuge, die dann in der zweiten Angriffswelle verwendet wurden, weisen starke Ähnlichkeiten mit dem "Proof of Concept"-Angriffscode auf, den Microsoft am 23. Februar an Antivirenfirmen und andere Sicherheitspartner verteilt hat, so die Ermittler der Sicherheitsfirmen. Microsoft hatte geplant, seine Sicherheitskorrekturen zwei Wochen später, am 9. März, zu veröffentlichen, aber nachdem die zweite Welle begann, wurden die Patches eine Woche früher, am 2. März, veröffentlicht.

Siehe auch:

Microsoft, Cloud, E-Mail, Office 365, microsoft 365, Exchange, Cloud Computing, Exchange Server, Microsoft 365 Business, Microsoft Cloud, Microsoft 365 für Unternehmen, Microsoft Exchange, Exchange online, Mailserver, Exchange Logo, Microsoft Exchange Online, Microsoft Exchange Online Logo, E-Mail Server, Cloud Hosting