11 März, 2021
Im Dezember 2020 wurden durch ein Forscherteam bei DEVCORE Research kritische Sicherheitslücken in Microsofts Exchange-Server identifiziert. Microsoft hat hierzu am 3. März 2021 einen Emergency-Patch veröffentlicht, nachdem
mehrere Medien darauf hingewiesen hatten, dass diese Sicherheitslücken aktiv von Cyberkriminellen genutzt werden und davon auszugehen ist, dass weltweit mindestens hunderttausend Exchange-Server, davon allein in Deutschland mehrere zehntausend, kompromittiert sind.
Die durchzuführende, komplexe Angriffskette baut auf mehreren Sicherheitslücken auf. Der Angreifer erlangt am Ende der Kette höchste Berechtigungen, um auf dem Exchange-Server unauthentifiziert über das Internet Befehle auszuführen. Damit können nicht nur Emails gelesen werden; vielmehr ist der Angreifer in der Lage, mit den erlangten lokalen Schreibzugriffen in die Domäne durchzugreifen und sich dort nachhaltig zu verankern, zum Beispiel durch die Implementierung einer sogenannten Hintertür („Backdoor“) als Basis für Folgeangriffe (Veröffentlichung sensibler Informationen, Identitätsdiebstahl, weiterführende Angriffe etc.).
Betroffen von der Schwachstelle sind alle Unternehmen, die Exchange-Server der Versionen 2013, 2016, oder 2019 „on premise“ einsetzen. Als Startpunkt für einen erfolgreichen Angriff muss der Outlook Web Access für den Angreifer erreichbar sein. Ausdrücklich nicht betroffen ist „Exchange Online“.
Aufgrund der möglichen Auswirkungen einer erfolgreichen Ausnutzung der Exchange-Schwachstellen auf die gesamte IT-Infrastruktur eines Unternehmens ist ein umgehendes Einspielen der von Microsoft bereitgestellten aktuellen Sicherheits-Updates für den Exchange-Server erforderlich. Microsoft hat zur Untersuchung und Folgenabschätzung von betroffenen Infrastrukturen durch eine erfolgreiche Infektion weitere Werkzeuge und IOCs (Indicator of Compromise – Merkmale und Daten zur Beschreibung einer Kompromittierung von IT-Systemen oder Netzwerken) auf ihren Webseiten bereitgestellt.
Für infizierte Unternehmen kann es sinnvoll sein, den Exchange-Server auf eine neuere Version zu aktualisieren, vom Netz zu nehmen oder zu isolieren. Weiterhin empfehlen wir eine komplette forensische Sicherung des Exchange-Servers und der relevanten Protokoll-Dateien, um erforderliche Daten für weitere Analysen zu sichern. Diese betreffen die Untersuchung einer möglichen Ausbreitung im Unternehmensnetzwerk. Ergänzend sollten Aktivitäten in der Domäne überwacht (neue Benutzer, Änderungen bei Berechtigungen, neue GPOs etc.), das Netzwerk Monitoring an die IOCs angepasst (auffällige Kommunikation, Datenabfluss etc.) und systemweite Scans durchgeführt werden (AV, EDR etc.).