Der HAFNIUM-Hack zieht weite, weite Kreise, wenn ich das so überblicke. Leider ist hier noch kein Ende in Sicht. Es bleibt derzeit alles relativ unüberschaubar. Dabei will man eigentlich Microsoft gar nicht so sehr auf die Finger hauen. Denn es wird ja nun nichts beschleunigt, wenn man nur laut genug schreit. Microsoft ist dabei, die Probleme zu beheben, wie ich auch gleich ausführen werde. Also dahingehend geht es jedenfalls voran. Schauen wir mal, wie es derzeit aussieht.
Der HAFNIUM-Hack: Angriff ohne Beispiel
Ja, es klingt plakativ. Aber es ist nunmal ohne Beispiel, was sich da unter dem Schlagwort „HAFNIUM-Hack“ so abspielt. Am 08.03.2021 schrieb ich darüber erstmals. Und so, wie sich Microsoft bezüglich der ganzen Geschichte verhält, haben sie so etwas jetzt auch nicht täglich erlebt. Und ich kenne ein paar Leute bei Microsoft, die da schon Ewigkeiten arbeiten. Ob man deshalb dann von „Hack“ erzählen muss, sei mal dahingestellt. Der Begriff ist jedenfalls in der Welt.
Es hieß zwischendurch auch irgendwie ernsthaft mal, dass es innerhalb der Microsoft-Organisation ein „Leck“ gegeben haben könnte. Denn wie hätte es denn sonst diesen HAFNIUM-Hack gegeben haben können? Ich meine, es war schon eigenartig, dass die Angreifer Berechtigungen auf Verzeichnisse verändern konnten, womit das Update zum Schutz vor diesem Angriff verhindert wurde. Kein Wunder also, dass ganze Heerscharen von Hackern die Angriffe auf Exchange Server fuhren.
Zig-tausende Installationen von Exchange Server waren jedenfalls von der Sicherheitslücke betroffen, die HAFNIUM ausgenutzt hatte. Und wie das eben immer so ist: System A oder Umgebung B wurde angegriffen. Ob etwas passiert ist oder nicht, lässt man zwar prüfen. Aber selbst, wenn die Prüfung keine Probleme ergibt, ist doch das Vertrauen in das System stark beschädigt. Wenn zwar kein Schaden feststellbar ist, so ist es dann doch ein beschädigtes System.
Wie geht es denn nun weiter?
Wie bei allen dynamischen Szenarien ändern sich die Situationen auch beim HAFNIUM-Hack quasi stündlich. Es kann also sein, dass mein Artikel in Kürze überholt ist. Im ganz oben verlinkten Artikel habe ich von einem Test-Script erzählt. Mittlerweile gibt es aber eine 1-Klick-Variante, die nicht nur Exchange aktualisiert, sondern auch überprüft und absichert und so. Allem Anschein nach ist das Mitigation Tool wohl sehr wirksam gegenüber dem HAFNIUM-Hack.
Grundsätzlich darf man sich dann aber trotzdem fragen, wie es denn weitergeht. Soll ich auch in Zukunft noch auf den guten, alten Exchange Server setzen? Oder ist es besser, Cloud-Dienste oder ein ähnliches Produkt einzusetzen? Ich glaube, durch diese Geschichte, ist einiges ins Rutschen geraten. Der eine Grundsatz gilt allerdings nach wie vor: Es kann keine absolute Sicherheit geben. Und bisher ist es eigentlich so gewesen, dass der Exchange Server sehr zuverlässig war.
Dieses ganze Desaster, wie es sich darstellt, ist zwar enorm. Aber ich würde jetzt nicht hergehen und alles hinterfragen. Das Mitigation Tool ist meiner Ansicht nach eine gute Möglichkeit. Es ist wie ein Impfstoff, um einer Pandemie Herr zu werden. Dennoch spricht nichts dagegen, immer der Faustformel zu folgen: So viel wie nötig und so wenig wie möglich. Das gilt bei Berechtigungen, bei offenen Firewall-Ports, bei allem möglichen. Dann bekommt man es in den Griff.
Oder doch lieber in die Cloud?
Man könnte natürlich auch zu Microsoft 365 wechseln. Die Möglichkeiten dort sind ja unfassbar. Außer das Azure AD fällt aus wie jetzt erst wieder. Und für viele Unternehmen, Behörden, Organisationen ist die Microsoft-Cloud schlicht indiskutabel. Denn es ist ja ein US-Anbieter, und die sind ja grundsätzlich immer erstmal böse. Ich will darüber nicht die x-te Debatte haben. Darum ein anderer Gedanke zur gesamten Thematik.
Ja, natürlich kann man in die Cloud marschieren. So unsicher ist das jetzt auch wieder nicht. Und irgendwie soll es dort ja nicht zu einem HAFNIUM-Hack gekommen sein. Kann es sein, dass Microsoft die Cloud eher mit Updates ausrüstet als die Kundschaft mit ihren Rechenzentren? Vielleicht ist der Service in der Cloud ja einfach besser. Man weiß es nicht. Im Zweifelsfall könnte man ja seinen Dienstleister auf Microsoft hetzen, die bekommen da schon was raus.
Da stellt sich aber noch die Frage des letzten Exchange Servers. Damit gibt es halt so Probleme beim Abschalten, wie ich neulich mal schrieb. Also so ganz wird man das Zeug eh nicht los. Und so bleibt man dann trotz der guten und schnellen Abwehr von Microsoft gegen den HAFNIUM-Hack etwas ratlos zurück. Ich denke, unterm Strich ist eine gut gemachte Hybrid-Lösung immernoch der beste Weg. Und hey, Updates müssen wir alle installieren, HAFNIUM-Hack hin oder her.