Was ist passiert?
In der Nacht zum 3. März 2021 veröffentlichte Microsoft überraschend neue Sicherheitspatches für alle „Microsoft Exchange Server“ Produkte.
- Mit diesem außerplanmäßigen Patch wurden unter anderem die folgenden vier als kritisch eingestufte Sicherheitslücken geschlossen. CVE-2021-26855, welcher auf den Namen „ProxyLogon“ getauft wurde, ist eine Server-Side-Request-Forgery (SSRF) Schwachstelle, die es erlaubt einem nicht authentifizierten Angreifer, welcher Zugriff auf Port 443 eines Exchange Servers der betroffenen Versionen hat, sich als Exchange Server zu authentifizieren. Dadurch kann der Angreifer jede Form von http-Anfragen in der Rolle des Exchange Servers senden. Dabei werden Exchange Server eigene Sicherheitsmechanismen für Client Anfragen umgangen und ein Zugriff auf die dahinter liegenden Services, wie zum Beispiel die programmeigenen Datenbanken, ermöglicht.
- CVE-2021-26857 erlaubt es einem Angreifer als Administrator Code mit System-Rechten auszuführen. Die notwendigen Administratorrechte können z. B. durch die oben beschriebene Sicherheitslücke oder mit zuvor anderweitig kompromittierten Admin Account Daten erlangt werden.
- CVE-2021-26858 und CVE-2021-27065 ermöglichen das Schreiben beliebiger Dateien nach einer Authentifizierung in Exchange. Dies ermöglicht unter anderem Malware einzuschleusen und hierdurch eine vollständige Übernahme des betroffenen Systems zu erlangen.
All diese Lücken betreffen Microsoft Exchange 2013, 2014 und 2019, während Exchange 2010 lediglich von CVE-2021-26857 betroffen ist. Das Risiko erfolgreicher Angriffe besteht insbesondere für alle aus dem Internet erreichbaren Exchange Server, soweit die Verbindungen nicht ausschließlich via VPN laufen. Dabei spielt es keine Rolle, welcher Microsoft Exchange Web Dienst aus dem Internet erreichbar ist. Microsofts eigener Exchange Online Service ist jedoch nicht betroffen.
Was sind die Folgen?
Microsoft ist auf die aktive Ausnutzung der besagten Lücken aufmerksam geworden, nachdem Sicherheitsforscher bereits im Januar eine aktive Ausnutzung der Schwachstellen festgestellt haben. Eine wahrscheinlich aus China operierende Angreifergruppe, welche Microsoft im späteren Verlauf „Hafnium“ taufte, nutzte hierbei CVE-2021-26855 aus, um den gesamten Inhalt mehrerer Mailboxen zu stehlen. Außerdem verkettete diese Gruppe die Schwachstelle mit CVE-2021-27065 um Webshells in den attackierten Servern zu implementieren. Diese erlaubten der Gruppe vollständigen Zugriff auf die betroffenen Server und somit die Möglichkeit weiter in das Netzwerk vorzudringen.
Bereits einen Tag nachdem Microsoft die Sicherheitspatches veröffentlichte, wurden weitere Angreifer beobachtet, die die oben genannten Schwachstellen ausnutzten. Auch die nötigen Tools und Kenntnisse in Form von Proof-of-Concept Exploits wurden wenig später unter anderem auf Github veröffentlicht. Somit beschränkt sich die Ausnutzung der Schwachstellen nichtmehr nur auf eine Gruppe, sondern es muss davon ausgegangen werden, dass zahlreiche andere Angreifer bereits dabei sind, die Lücken auszunutzen.
Was empfehlen wir?
Heute sind mehr als 300.000 Microsoft Exchange Server mit dem Internetscanner Shodan auffindbar. Davon befinden sich etwa 32.000 in Deutschland.
Aufgrund der Bekanntheit der Schwachstellen und der Trivialität, mit der diese verwendbar sind, muss davon ausgegangen werden, dass diese, sofern sie noch nicht gepatcht worden sind, bereits kompromittiert sind.
Wir empfehlen unseren Kunden dringend, ihre Microsoft Exchange Server zu aktualisieren.
Microsoft hat hierzu bereits Patches für die folgenden System veröffentlicht:
- Exchange Server 2010 (SP 3 RU)
- Exchange Server 2013 (CU 23, CU 22, CU 21)
- Exchange Server 2016 (CU 20, CU 19, CU 18, CU 17, CU 16, CU 15, CU 14, CU 13, CU 12, CU 11, CU 10, CU 9, CU 8)
- Exchange Server 2019 (CU 9, CU 8, CU 7, CU 6, CU 5, CU 4, CU 3, CU 2, CU 1, RTM)
Der Microsoft Sicherheitsforscher Kevin Beaumont hat zusätzlich ein Skript für den Portscanner NMap veröffentlicht, mit welchem betroffene Exchange Server ausfindig gemacht werden können:
Außerdem veröffentlichte Microsoft ein Script zur Überprüfung der Konfigurationen von Exchange Servern auf Github:
Darüber hinaus raten wir dazu, die Zugriffs-Logs ihres Unternehmens für Ihren Exchange Server nach ungewöhnlichen externen Zugriffen auf Port 443 zu durchsuchen.
Für weitere Informationen empfehlen wir folgende Quellen:
Themenbezogene Infobroschüre des Bundesamtes für Sicherheit in der Informationstechnik (BSI):
Offizieller Blog von Microsoft:
Wie kann ConSecur Sie unterstützen?
Der Cyberangriff auf Microsoft zeigt einmal mehr, wie wichtig es ist die eigene IT-Infrastruktur regelmäßig und professionell zu überwachen. Warten Sie nicht bis zur nächsten Sicherheitslücke – handeln Sie sofort!
Schützen Sie Ihre IT Infrastruktur durch ein Security Monitoring in unserem Cyber Defense Center und einer kontinuierlichen Gefahrenabwehr. Von der aktiven Überwachung über ein zentrales Sicherheitsmanagement bis zum Reporting unterstützen wir Sie im kompletten IT-Lifecycle.
Sie haben Fragen? Kontaktieren Sie uns noch heute für ein kostenloses Beratungsgespräch!
Autor: Christoph Petersen
