Kritische Sicherheitslücke im Microsoft Exchange Server

HAFNIUM-Angriff – Sind Sie betroffen?

Kritische Sicherheitslücke im Microsoft Exchange Server - HAFNIUM-Angriff

Anfang März hat Microsoft eine Meldung über eine neue, schwerwiegende Sicherheitslücke im Microsoft Exchange Server herausgegeben. Doch schon Monate davor (im Oktober/November 2020) nutzten Unbekannte die Verwundbarkeit und begannen mit den Angriffen.

Hacker authentifizieren sich bei den Angriffen als Exchange Server am Active Directory und bekommen relativ einfach Zugriff auf alle E-Mails, Adressbücher und sogar die administrative Macht über die Domain. Diese Angriffe betreffen alle im Internet veröffentlichte Exchange Server.

Hauptverantwortlich für die Cyberattacken ist die chinesische "HAFNIUM Gruppe". Anfangs hatte man es gezielt auf amerikanische Behörden, Forschungseinrichtungen und Firmen zwecks Datenspionage abgesehen. Durch die Herausgabe eines Patches sind mittlerweile weitere Hacker darauf aufmerksam geworden, sodass auch in Deutschland zahlreiche Firmen und Behörden betroffen sind. Die Angriffe laufen so gezielt und einfach ab, dass die Unternehmen diese anfangs nicht bemerken. Über Outlook Web Access, ECP, ActiveSync oder die EWS-Schnittstelle gelangen die Hacker problemlos ins System.

Wie erkennen Sie, ob Sie betroffen sind?

Vor der Überprüfung empfiehlt es sich, bei ungepatchten Servern die Veröffentlichung per HTTPS-Port 443 im Internet zu deaktivieren.

Anschließend muss geprüft werden, ob der Server bereits betroffen ist. Microsoft stellt hierfür ein Powershell-Script bereit, welches alle Logs nach einem speziellen Angriffsmuster überprüft. Hat ein Angriff stattgefunden, so kann durch das Script das konkrete Datum ermittelt werden. Das Script „Test-Proxylogon“ kann unter folgendem Link heruntergeladen werden: https://github.com/microsoft/CSS-Exchange/tree/main/Security

Wenn dieses Script verdächtige Logeinträge meldet, kann davon ausgegangen werden, dass der Exchange Server bereits betroffen ist. Wenn der Exchange Server nicht betroffen ist, sollte der Server gesichert und entsprechend aktualisiert werden.

Was können Sie tun, wenn die Hacker im Netz sind?

Die bereitgestellten Updates von Microsoft verhindern, dass sich Hacker Zugriff  von außen verschaffen, jedoch können bereits Schadprogramme oder Backdoors abgelegt worden sein. Wenn eine Kompromittierung des Systems vermutet wird, muss eine entsprechende Risikoabschätzung erfolgen. Ist es tolerierbar das System zu bereinigen und ggf. mit einem Restrisiko zu leben, oder sollte das System inkl. des Active Directory neu aufgesetzt werden? Auch ein Restore des Systems mit dem Stand vor dem Angriff ist ein mögliches Szenario. Erstellen Sie in jedem Fall zuerst eine Offline Sicherung des Systems. Ein Angriff per Ransomware mit anschließender „Lösegelderpressung“ kann auch einige Zeit nach dem Einbruch in das System erfolgen.

Wenn die Umgebung repariert und bereinigt werden soll, gibt es weitere Scripte von Microsoft, welche bekannte Webshells suchen und melden, die Hashes der Installationsdateien des Exchange Servers auf Änderungen überprüfen und nach Dump- bzw. Zipdateien suchen, welche auf eine Ableitung von Daten hinweisen können. Der Server muss auch auf Malware gescannt werden, da das Active Directory ebenfalls betroffen sein kann. Hier sollte man die Protokollierung erhöhen und auf neue Benutzerkonten (vor allem administrative Konten) achten.

Wenn Sie wissen, dass Sie betroffen sind, dann sollten Sie zudem herausfinden, was genau passiert ist bzw. was der Angreifer gemacht hat. Gegebenenfalls entstehen dadurch Meldepflichten bei einer Aufsichtsbehörde (wenn bspw. Kreditkarten- oder Personendaten ausspioniert wurden).

Wie können Sie sich langfristig schützen?

  • Patches immer nach Herausgabe einspielen
  • Zugriff auf ActiveSync und OWA nur per VPN
  • Netzwerksegmentierung
  • Nur notwendige Dienste einsetzen und ggf. in eine Cloud auslagern
  • Multi-Faktor-Authentifizierung
  • Sensibilisierung der Mitarbeiter z. Bsp. durch Schulungen
  • Systeme zur 24/7 Bedrohungssuche inkl. Reaktion bei verdächtigen Aktivitäten einführen

Weiterführende Links:

BSI:

https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Cyber-Sicherheit/Vorfaelle/Exchange-Schwachstellen-2021/MSExchange_Schwachstelle_Detektion_Reaktion.pdf?__blob=publicationFile&v=3

Microsoft:

https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/

HAFNIUM ist kein Einzelfall. Aktuell hat Microsoft 89 kritische und 75 schwerwiegende Sicherheitslücken veröffentlicht. Jedes Unternehmen kann betroffen sein bzw. zukünftig Ziel einer Cyberattacke werden. Ein proaktiver Schutz der IT-Infrastruktur ist daher unerlässlich.

Sie benötigen Unterstützung bei der Untersuchung Ihrer Systeme? Sie möchten Ihre IT-Infrastruktur langfristig schützen? Gern stehen wir Ihnen telefonisch unter 0351 47777210 oder per Mail an beratung@ibh.de zur Verfügung.

Zurück

Das könnte Sie auch interessieren

IT-Sicherheit ist Vertrauenssache
BSI warnt vor Einsatz der Kaspersky Virenschutzsoftware
Sicherheitslücken in unternehmenseigenen Systemen frühzeitig erkennen
Kritische Sicherheitslücke in Microsoft Exchange Produkt
SSL Zertifikat - DSGVO verpflichtet zu Datenschutz und Verschlüsselung

Sie haben Fragen?

Gern senden wir Ihnen weitere Informationen oder beraten Sie individuell in einem Termin.

Füllen Sie hierfür das Formular aus.

Einwilligungserklärung Datenschutz

Mit Setzen des Häkchens im unten stehenden Kontrollkasten erklären Sie sich einverstanden, dass die von Ihnen angegebenen Daten elektronisch erhoben und gespeichert werden. Ihre Daten werden dabei nur streng zweckgebunden zur Bearbeitung und Beantwortung Ihrer Anfrage genutzt. Diese Einwilligung können Sie jederzeit durch Nachricht an uns widerrufen. Im Falle des Widerrufs werden Ihre Daten umgehend gelöscht. Weitere Informationen entnehmen Sie bitte der Datenschutzerklärung.

2024 IBH IT-Service Gmbh Alle Rechte vorbehalten