Schwachstelle im Exchange-Server (CVE-2020-0688)

Eine hochgefährliche Lücke liegt derzeit im Exchange-Server vor. Bereits seit dem 11. Februar 2020 existieren Sicherheitsupdates, mit denen sich kritische Sicherheitslücken in dem Groupware- und E-Mail-Server Exchange beheben lassen. Anfang April waren rund 350.000 Systeme angreifbar, derzeit reagieren fast 40.000 deutsche Unternehmen immer noch nicht auf die Exchange-Lücke. Viele Exchange-Server sind über Exchange Web Services öffentlich erreichbar und dadurch anfällig für die Schwachstelle (CVE-2020-0688) und dementsprechend gefährdeter durch Angriffe.

Exchange-Server

Exchange-Server sind die Kommunikationszentralen der Unternehmen, über die bspw. E-Mail, Kalender und Kontakte abgewickelt werden. Ein erfolgreicher Angriff darauf legt somit den Grundstein für Spionage und weitere Angriffsszenarien wie CEO Fraud oder Erpressung.

Bei der Lücke handelt es sich um einen Fehler bei der Erstellung von Schlüsseln, mit denen der Exchange unter anderem die Echtheit von Objekten überprüft. Statt der Verwendung von zufälligen Schlüsseln kommen bei allen Exchange-Servern die gleichen statischen Key „validationKey“ und „decriptionKey“ für das Web-Interface zum Einsatz. Diese Schwachstelle wird bereits aktiv für Angriffe genutzt. Auch die IT-Bedrohungslage wurde bereits auf „3/Orange“ gesetzt, was bedeutet, dass die IT-Bedrohungslage als geschäftskritisch eingestuft wird und massive Beeinträchtigungen des Regelbetriebs mit sich ziehen kann.

Die Identifizierung der Unternehmen mit der vorliegenden Schwachstelle stellt für die Cybercrime-Banden kein Problem dar. Denn auch für Rapid7 als auch für das BSI ist es möglich, die betroffenen Firmen ausfindig zu machen.

Rapid7 entwickelt das Penetration-Testing-Framework Metasploit, für das sie bereits einen funktionsfähigen Exploit für die Lücke CVE-2020-0688 ausgebaut haben.

Problematisch ist, dass mehr als die Hälfte aller Administratoren auf das Sankt-Florian-Prinzip setzt, wenn es um ihre aus dem Internet erreichbaren Web-Interface geht.

Hier ist also nicht die Frage, ob die Systeme in Zukunft einem Angriff ausgesetzt sind, sondern viel mehr wann sie diesem ausgeliefert sind.

Aufgrund der IT-Bedrohungslage informiert das BSI/ CERT-Bund die betroffenen Firmen über deren Provider über den Handlungsbedarf.

Ein Angriff legt den Grundstein für eine Reihe an weiteren Angriffsszenarien. So wird es ermöglicht, das System über das Netz komplett zu übernehmen. Zur Übernahme benötigt der Angreifer lediglich gültige Zugangsdaten zum Exchange-Konto. Dies stellt für Cyberkriminelle oftmals keine Hürde dar. Denn bereits durch einen einzigen mit einem Schädling infizierten Rechner oder durch einen Mitarbeiter, der eine Phishing-Mail nicht erkennt, erhalten Cyberkriminelle Zugriff auf die Zugangsdaten. Die Nutzer der Exchange können einen eigenen Code einschleusen, welcher mit SYSTEM-Rechten ausgeführt wird und den Exchange-Server komplett übernimmt. Hinzu kommt, dass in vielen Firmen der Exchange-Server ohne ausreichende Absicherung an das Active Directory gekoppelt ist. Damit werden Computer-Konten und Service-Accounts entgegen der Herstellerempfehlungen mit privilegierten Rechten versehen. Das BSI erklärt in seiner Sicherheitswarnung, dass Angreifer „über die Kompromittierung eines Exchange-Servers somit je nach Systemumgebung schnell in den Besitz von Domänen-Administrator-Credentials gelangen“. Deswegen rät das BSI, die betroffenen Server schnellstmöglich zu aktualisieren.

Das BSI empfiehlt eine schnellstmögliche Überprüfung, ob im Unternehmen selbst verwundbare Versionen eingesetzt werden. Falls dies der Fall ist, wird eine sofortige Aktualisierung geraten.