Sicherheitslücke im Exchange Server – so reagiert Pusch-Data

Am 3. März wurde bei Microsoft eine Sicherheitslücke, welche die Exchange-Server betrifft, bekannt. Die Sicherheitslücke betrifft oft im Internet liegende Funktionen, wie zum Beispiel OWA.  

Offiziell bekannt gegeben wurde die Sicherheitslücke am 05. März durch Microsoft – erst, als ein verfügbares Patch releast wurde, sodass IT-Sicherheitsbeauftragte sofort reagieren konnten. 

Die Sicherheitslücken im Überblick (Quelle BSI) 

• CVE-2021-26855 ist eine server-side request forgery (SSRF) Schwachstelle in Exchange, welche es einem Angreifer erlaubt, HTTP-Requests zu senden und sich am Exchange-Server zu authentisieren. 

• CVE-2021-26857 ist eine insecure deserialization Schwachstelle im Unified Messaging Service. Bei insecure deserialization werden Nutzer-bestimmte Daten von einem Programm deserialisiert. Hierüber ist es möglich, beliebigen Programmcode als SYSTEM auf dem Exchange-Server auszuführen. Dies erfordert Administrator-Rechte oder die Ausnutzung einer entsprechenden weiteren Schwachstelle. 
• CVE-2021-26858 und CVE-2021-27065 sind Schwachstellen, mit denen – nach Authentisierung – beliebige Dateien auf dem Exchange-Server geschrieben werden können. Die Authentisierung kann z. B. über CVE-2021-26855 oder abgeflossene Administrator-Zugangsdaten erfolgen. 

Am Montag, den 08. März, hat das BSI gegen 15 Uhr die Bedrohungslage auf „rot“ (die höchste Stufe) angehoben. Zu diesem Zeitpunkt ging das BSI von insgesamt 57.000 potenziell betroffenen Servern aus. Hauptsächlich richtete sich der Angriff gegen amerikanische Forschungseinrichtungen mit Pandemie-Fokus, Hochschulen, Anwaltsfirmen, Organisationen aus dem Rüstungssektor, Think Tanks und NGOs. 

Eine Attacke war nur möglich, wenn eine nicht-vertrauenswürdige Verbindung auf Port 443 zu dem Exchange Server etabliert werden konnte. Server, welche nicht-vertrauenswürdige Verbindungen einschränken sowie nur per VPN erreichbar sind, waren und sind vor initialen Angriffen geschützt. Sollte ein Angreifer bereits Zugriff auf den Server haben oder hat ein Administrator eine schadhafte Datei ausgeführt, ist diese ebenfalls nicht mehr geschützt.  

So waren die Angriffsziele überwiegend aus dem Internet erreichbare Exchange Server. Grundsätzlich gehören hierzu alle Exchange Web Dienste wie Outlook Web Access (OWA), ActiveSync, Unified Messaging (UM), der Exchange Control Panel (ECP) VDir, das Offline Address Book (OAB) VDir Service sowie weitere Dienste.  

Gestartet wurde der Angriff auf die Sicherheitslücke wahrscheinlich durch das HAFNIUM Netzwerk, dem eine Verbindung zur chinesischen Regierung nachgesagt wird.  

Derzeit gehen die meisten Sicherheitsexperten davon aus, dass der Angriff zeigen sollte, dass die Angreifer in der Lage sind, auch solche Sicherheitslücken auszunutzen sowie das genaue Angriffsszenario zu testen.  

Nach Veröffentlichung der Sicherheitslücke durch Microsoft haben sich auch andere Hacker-Kollektive angeschlossen, welche allerdings noch nicht bekannt sind. 

Der CERT-Bund des BSI benachrichtigte deutsche Netzbetreiber zu bekannten IP-Adressen verwundbarer und über das Internet erreichbare Exchange-Server in ihren Netzen, sodass diese gezielt reagieren können.  

Welche Vorkehrungen haben wir von Pusch-Data getroffen?  

Nach der Bekanntgabe seitens Microsofts über die Sicherheitslücke am 5. März haben unsere Techniker das Wochenende hinweg die Meldungen beobachtet. Mit einem Anstieg der Bedrohungslage wurde von unserem Operation Management die Entscheidung getroffen ein ISMS Ticket zu öffnen. Dieser TISAX basierende Prozess dient der Prozessverkürzung bei Bedrohungslagen. Unsere Kunden wurden über die Änderung an den Systemen informiert. Nach erfolgreicher Aktualisierung wurden die von Microsoft veröffentlichen Prüfscripts angewendet. So konnte festgestellt werden, ob Exchange Server unserer Kunden betroffen waren. Bei Hinweisen auf Befall wurde zusammen mit Sophos der Befall bearbeitet. 

Wir behalten einen breiten Überblick und achten auf verschiedene Hinweise, die eine Kompromittierung andeuten können. So scannen wir unsere Exchange Server regelmäßig, um eine mögliche Hinterlegung von Cookies zu prüfen. Ebenfalls behalten wir .aspx-Dateien im Blick, welche Hinweise auf eine Remote Code Execution darstellen könnten. Außerdem beobachten wir, ob von unserem Innennetz Verbindungen zu einem Botnetz aufgebaut wurden, wodurch Codes eingeschleust werden können.  

Wir führen täglich Restore Tests durch, um möglichen Crypotrojanern vorzubeugen. Denn sollten unsere Kunden betroffen sein, hilft meist nur noch ein kompletter Neuaufbau der Umgebung, und zwar zu dem Stand, bevor die Attacken stattgefunden haben. 

Da der Zeitpunkt einer Attacke nie genau bestimmt werden kann, haben wir die Backups unserer Kunden vom 01.03.2021 auf den 02.03.2021 speziell gelagert. So können wir, falls wir zurückdrehen müssen, auf ein Backup zurückgreifen, das erstellt wurde, bevor die Sicherheitslücke bekannt wurde und sich mögliche Trittbrettfahrer dem Angriff angeschlossen haben.  

Aufgrund unseres Screenings und keinerlei Hinweisen auf weitere Angriffe schätzen wir den Patch als effektiv ein.  

Bei zwei unserer Kunden haben wir .aspx-Dateien auffinden können, welche wir gemeinsam mit unserem Partner Sophos schnell und effektiv entfernen konnten. Was das für uns bedeutet? Selbst kleine Unternehmen sind vom Angriff betroffen – es sind also nicht nur große Konzerne betroffen. Die Angriffe werden somit erst breit gestreut und später wird überlegt, welchen Schaden man mit den somit gewonnenen Zugriffen und Daten anrichtet.  

Mit unserem Gold Partner Status bei Sophos werden wir präferiert behandelt, was wir vor allem jetzt als großen Vorteil für uns und unsere Kunden sehen. Sophos filtert bereits seit dem 06.03.2021 (also nur ein Tag nach der offiziellen Bekanntgabe der Sicherheitslücke durch Microsoft) zugehörige Angriffsversuche aus.  

Unter Zuarbeit von 2 Sophos Mitarbeitern haben wir eine Task Force generiert, die aus 6 Sicherheitsexperten besteht. So sind wir noch effektiver auf mögliche Angriffe auf Exchange Server vorbereitet.  

Aufgrund der ausgezeichneten Zusammenarbeit mit Sophos sind wir gerade in der Diskussion, unseren Partnerstatus weiter anzuheben und mit Managed Threat Response (MTR) unser Security Operation Center an Sophos auszulagern, um unseren Kunden einen noch besseren Schutz zu garantieren.