- Hotline +49 351 477770
Kritische Sicherheitslücke im Microsoft Exchange Server
HAFNIUM-Angriff – Sind Sie betroffen?
Anfang März hat Microsoft eine Meldung über eine neue, schwerwiegende Sicherheitslücke im Microsoft Exchange Server herausgegeben. Doch schon Monate davor (im Oktober/November 2020) nutzten Unbekannte die Verwundbarkeit und begannen mit den Angriffen.
Hacker authentifizieren sich bei den Angriffen als Exchange Server am Active Directory und bekommen relativ einfach Zugriff auf alle E-Mails, Adressbücher und sogar die administrative Macht über die Domain. Diese Angriffe betreffen alle im Internet veröffentlichte Exchange Server.
Hauptverantwortlich für die Cyberattacken ist die chinesische "HAFNIUM Gruppe". Anfangs hatte man es gezielt auf amerikanische Behörden, Forschungseinrichtungen und Firmen zwecks Datenspionage abgesehen. Durch die Herausgabe eines Patches sind mittlerweile weitere Hacker darauf aufmerksam geworden, sodass auch in Deutschland zahlreiche Firmen und Behörden betroffen sind. Die Angriffe laufen so gezielt und einfach ab, dass die Unternehmen diese anfangs nicht bemerken. Über Outlook Web Access, ECP, ActiveSync oder die EWS-Schnittstelle gelangen die Hacker problemlos ins System.
Wie erkennen Sie, ob Sie betroffen sind?
Vor der Überprüfung empfiehlt es sich, bei ungepatchten Servern die Veröffentlichung per HTTPS-Port 443 im Internet zu deaktivieren.
Anschließend muss geprüft werden, ob der Server bereits betroffen ist. Microsoft stellt hierfür ein Powershell-Script bereit, welches alle Logs nach einem speziellen Angriffsmuster überprüft. Hat ein Angriff stattgefunden, so kann durch das Script das konkrete Datum ermittelt werden. Das Script „Test-Proxylogon“ kann unter folgendem Link heruntergeladen werden: https://github.com/microsoft/CSS-Exchange/tree/main/Security
Wenn dieses Script verdächtige Logeinträge meldet, kann davon ausgegangen werden, dass der Exchange Server bereits betroffen ist. Wenn der Exchange Server nicht betroffen ist, sollte der Server gesichert und entsprechend aktualisiert werden.
Was können Sie tun, wenn die Hacker im Netz sind?
Die bereitgestellten Updates von Microsoft verhindern, dass sich Hacker Zugriff von außen verschaffen, jedoch können bereits Schadprogramme oder Backdoors abgelegt worden sein. Wenn eine Kompromittierung des Systems vermutet wird, muss eine entsprechende Risikoabschätzung erfolgen. Ist es tolerierbar das System zu bereinigen und ggf. mit einem Restrisiko zu leben, oder sollte das System inkl. des Active Directory neu aufgesetzt werden? Auch ein Restore des Systems mit dem Stand vor dem Angriff ist ein mögliches Szenario. Erstellen Sie in jedem Fall zuerst eine Offline Sicherung des Systems. Ein Angriff per Ransomware mit anschließender „Lösegelderpressung“ kann auch einige Zeit nach dem Einbruch in das System erfolgen.
Wenn die Umgebung repariert und bereinigt werden soll, gibt es weitere Scripte von Microsoft, welche bekannte Webshells suchen und melden, die Hashes der Installationsdateien des Exchange Servers auf Änderungen überprüfen und nach Dump- bzw. Zipdateien suchen, welche auf eine Ableitung von Daten hinweisen können. Der Server muss auch auf Malware gescannt werden, da das Active Directory ebenfalls betroffen sein kann. Hier sollte man die Protokollierung erhöhen und auf neue Benutzerkonten (vor allem administrative Konten) achten.
Wenn Sie wissen, dass Sie betroffen sind, dann sollten Sie zudem herausfinden, was genau passiert ist bzw. was der Angreifer gemacht hat. Gegebenenfalls entstehen dadurch Meldepflichten bei einer Aufsichtsbehörde (wenn bspw. Kreditkarten- oder Personendaten ausspioniert wurden).
Wie können Sie sich langfristig schützen?
- Patches immer nach Herausgabe einspielen
- Zugriff auf ActiveSync und OWA nur per VPN
- Netzwerksegmentierung
- Nur notwendige Dienste einsetzen und ggf. in eine Cloud auslagern
- Multi-Faktor-Authentifizierung
- Sensibilisierung der Mitarbeiter z. Bsp. durch Schulungen
- Systeme zur 24/7 Bedrohungssuche inkl. Reaktion bei verdächtigen Aktivitäten einführen
Weiterführende Links:
BSI:
Microsoft:
https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/
HAFNIUM ist kein Einzelfall. Aktuell hat Microsoft 89 kritische und 75 schwerwiegende Sicherheitslücken veröffentlicht. Jedes Unternehmen kann betroffen sein bzw. zukünftig Ziel einer Cyberattacke werden. Ein proaktiver Schutz der IT-Infrastruktur ist daher unerlässlich.