+++aktualisierte Fassung vom 12.03.2021+++
Am 2. März 2021 veröffentlichte Microsoft offizielle Sicherheitsupdates für die Exchange-Lücken CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 und CVE-2021-27065.
Was hat es damit auf sich und welche Systeme sind betroffen?
Die Sicherheitslücken betreffen die Microsoft Exchange-Versionen 2013, 2016 und 2019 mit öffentlich erreichbarer Outlook Web App (OWA). Wichtig ist in diesem Zusammenhang zu erwähnen, dass die Cloud-Variante Microsoft Exchange Online, die im Rahmen von Office 365 und Microsoft 365 erworben werden kann, nicht betroffen ist.
Voraussetzungen und Angriffsverlauf.
Laut Microsoft wurden bereits am 28. Februar 2021 erste Anzeichen der Angriffe von der IT-Sicherheitsfirma Volexity verzeichnet – und damit noch lange bevor Patches von Microsoft zur Verfügung standen. Ab diesem Zeitpunkt wurden durch Cyber Response Center diverser Hersteller von Sicherheitslösungen großflächige Scans auf Microsoft Exchange Server festgestellt. Dazu wurden unter anderem die Online-Scanning-Anbieter Shodan und Cenys genutzt.
Für einen erfolgreichen Angriff muss der Exchange-Server externe Verbindungen auf Port 443 zulassen. Nachdem die Verbindung über Port 443 aufgebaut worden ist, nutzen die Angreifer die Lücke CVE-2021-26855 aus und authentifizieren sich am Exchange-Server.
Nach der Authentifizierung wird durch eine Kombination von CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 und CVE-2021-27065 per Remote-Fernzugriff Schadcode in das System eingebettet. Sobald der Fernzugriff, der auch als Reverse Shell bezeichnet wird, etabliert worden ist, wird in den meisten Fällen eine Web Shell installiert, um das betroffene System persistent für die Angreifer zugänglich zu halten, damit gegebenenfalls weitere Tools nachgeladen und Daten exfiltriert werden können
Über die installierte Reverse Shell können nicht nur interne Daten des Unternehmens gestohlen werden, sondern mithilfe von Tools wie Procdump können zusätzlich Laufzeitdaten von Prozessen ausgelesen und somit unter anderem Anmeldedaten extrahiert werden. Zu den internen Daten gehören neben dem Offline-Adressbuch unter Umständen auch ganze E-Mail-Postfächer. Durch eine erfolgreiche Authentifizierung am Microsoft Exchange kann nach aktueller Kenntnislage auch von einem Zugriff auf das Microsoft Active Directory ausgegangen werden.
Es wird empfohlen, sofort alle Zugriffe des Exchange-Servers auf der Perimeter Firewall zu unterbinden, um das System untersuchen zu können und den Abfluss weiterer Daten zu unterbinden.
Überprüfung und Erstmaßnahmen.
Mittlerweile sind verschiedene Angriffsszenarien der Advanced-Persistent-Threat-Gruppen bekannt geworden, die jedoch durch einige wenige Prüfungen identifiziert werden können.
Prüfen Sie den Exchange-Server mithilfe des Skripts „Exchange Server Health Checker“, das Sie auf der Entwicklerplattform GitHub beziehen können. Da bei auffälligen Funden ggf. tiefergehende forensische Analysen notwendig werden, empfiehlt es sich, bereits vor der Suche eine Gesamtsicherung des Exchange-Servers durchzuführen. Zusätzlich sollten die Event-Logs des Domain Controllers und das Logging der Firewall gesichert werden, um eine forensische Untersuchung im Nachgang zu ermöglichen. Bitte beachten Sie, dass aufgrund etwaiger Funde, die auf eine Kompromittierung hinweisen, ggf. entsprechende Meldepflichten zu beachten sind, da die Angreifenden zumindest theoretisch Zugriff auf die E-Mail-Postfächer hatten. Detaillierte Informationen zu dem Datenabfluss dürften gemeinsam mit einer Korrelation der Firewall Logs detektierbar sein.
Nach einem positiven Befund gibt es drei mögliche Varianten, die zur Bereinigung der Systeme gewählt werden können. Die sicherste Variante für Kunden, die weiterhin ihre lokalen Umgebungen nutzen möchten, ist die Neuinstallation des Microsoft Exchange Servers und das Anhängen der vorhandenen E-Mail-Postfächer und Adressbücher an das neue System. Eine weitere Möglichkeit in diesem Nutzungsszenario besteht darin, den Microsoft Exchange Server aus einem Backup wiederherzustellen und die Postfächer wiederum an den wiederhergestellten Server anzuhängen. In der letzten Variante werden die Sicherheitsupdates auf dem betroffenen Microsoft Exchange Server installiert und das System anschließend auf Indicators of Compromise (IOCs) überprüft. Hierbei bietet sich die Verwendung von modernen Endpoint-Security-Produkten oder Next-Generation-Firewall-Systemen an. Eine Liste der aktuellen IOCs finden Sie im folgenden Microsoft Beitrag:
Allerdings kann nach derzeitigem Kenntnisstand nicht mit Sicherheit gesagt werden, dass nur von den benannten Malware Hashes, Comand & Control-Servern oder MITRE ATT&CK-Techniken eine Gefahr ausgeht, sodass die letzte Variante keine Garantie für einen sicheren Betrieb des Microsoft Exchange Servers in der Zukunft bietet. Seit dem 11.03.2021 wurden nach bestätigen Berichten von Microsoft bereits Verschlüsselungen mit Lösegeldforderungen unter dem Namen „DearCry Ransomware“ gemeldet, die auf der hier thematisieren Sicherheitslücke ProxyLogon (CVE-2021-26855) basieren.
Empfehlungen.
Dieser Vorfall sollte auch Anlass sein, die eigene IT-Architektur professionell zu durchleuchten. Selbst gehostete Anwendungen sollten nicht direkt mit dem Internet verbunden werden, sondern immer mit einem entsprechenden Sicherheitsgateway mit eingeschalteter SSL Decryption geschützt werden. Auch die Nutzung von Software-as-a-Service-Diensten wie Exchange Online bietet einen erhöhten Schutz, da diese Systeme zentral vom Softwarehersteller, in diesem Fall Microsoft, überwacht und geschützt werden.
Unsere Bechtle Competence Center rund um Microsoft und Security unterstützen Sie in allen Belangen: Sei es bei der Installation eines neues Exchange-Servers, bei der Installation dringend empfohlener Patches, der Forensik, der IT-Sicherheitsberatung oder bei der Planung und beim Aufbau einer hochmodernen, abgesicherten und Cloud-gestützten Arbeitsumgebung. Wenden Sie sich einfach an Ihren Bechtle Ansprechpartner oder an it-security@bechtle.com. Wir stehen Ihnen auch in dieser turbulenten Zeit tatkräftig als zuverlässiger IT-Partner zu Seite.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat die IT-Bedrohungslage rot ausgerufen und geht von Zehntausenden angreifbaren Systemen in Deutschland aus, die sehr wahrscheinlich bereits infiziert worden sind. Die aktuellen Leitfäden vom BSI finden sie auf der Internetseite der Behörde.