News
Dringender Handlungsbedarf für Ihre IT - Mehrere Schwachstellen in Microsoft Exchange
Wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) mitgeteilt hat, gibt es aktuell eine kritische Bedrohung für alle Microsoft Exchange Server. Daher bitten wir Sie, dieses Schreiben an Ihren zuständigen internen oder externen IT-Administrator zu senden!
Das BSI stuft folgende Bedrohungen Stufe 4/Rot ein. Solch eine Risikostufe hat das BSI erst zum zweiten Mal verwendet. Selbst das BSI scheint durch diese Sicherheitslücke erfolgreich attackiert worden zu sein. Es besteht also dringender Handlungsbedarf bei allen Unternehmen!
Sollten Sie feststellen, dass Ihre Systeme kompromittiert wurden, sind Sie verpflichtet eine forensische Untersuchung durchführen zu lassen. Melden Sie dies auch bitte dann umgehend Ihrem Datenschutzbeauftragten. Falls die forensische Untersuchung einen Datenabfluss bestätigt, beginnt in diesem Fall die 72 Stunden Frist zur Meldung einer Datenpanne nach Art. 33 DSGVO gegenüber den Aufsichtsbehörden und es muss geprüft werden, ob auch Ihre Kunden/Mitarbeiter und sonstige Betroffenen informiert werden müssen.
Sachverhalt
Anfang März 2021 hat Microsoft Out-of-band Updates für Exchange Server veröffentlicht. Hiermit werden vier Schwachstellen geschlossen, die in Kombination bereits für zielgerichtete Angriffe verwendet werden und Tätern die Möglichkeit bieten, Daten abzugreifen oder weitere Schadsoftware zu installieren.
Darüber hinaus ist es aber auch möglich, über verwundbare Serversysteme Zugriff auf das komplette Unternehmensnetzwerk zu erlangen. Das liegt auch daran, so das BSI, dass Exchange-Server standardmäßig in vielen Infrastrukturen hohe Rechte im Active Directory besitzen. Weil Hackern weltweit sogenannte Proof-of-Concept-Exploit-Codes zur Verfügung stehen und Sicherheitsforscher starke Scan-Aktivitäten bemerken, geht das BSI aktuell von einem sehr hohen Angriffsrisiko aus.
Betreiber von betroffenen Exchange-Servern (laut Microsoft die Exchange-Server-Versionen 2013, 2016 und 2019) sollen demnach sofort die von Microsoft bereitgestellten Patches einspielen, empfiehlt das BSI. Zudem sollten die Systeme dringend auf entsprechende Auffälligkeiten hin überprüft werden.
Sicherheitsupdates stehen für die folgenden Versionen zur Verfügung [MIC2021c]:
- Exchange Server 2010 (RU 31 für Service Pack 3, hierüber werden künftige Angriffe verhindert)
- Exchange Server 2013 (CU 23)
- Exchange Server 2016 (CU 19, CU 18)
- Exchange Server 2019 (CU 8, CU 7)
- Nicht betroffen ist Exchange Online [MIC2021c].
Maßnahmen
Das BSI empfiehlt dringend das Einspielen der von Microsoft bereitgestellten Sicherheitsupdates. Bitte beachten Sie, dass die Updates nur für Server mit aktuellen kumulativen Updates (CU) zur Verfügung stehen. Verwundbar sind allerdings alle CUs. Daher sollten hier die aktuellen Updates eingespielt werden.
Update 1:
Um zu prüfen, ob bereits ein Angriff auf das eigene Netzwerk stattgefunden hat, stellen Microsoft, Volexity und Rapid 7 Indicators of Compromise sowie weitere Anleitungen für die Mitigation zur Verfügung [MIC2021a], [VOL2021], [CIS2021a], [RAP2021].
Anfällige Exchange-Systeme sollten aufgrund des hohen Angriffsrisikos dringend auf entsprechende Auffälligkeiten geprüft werden.
Update 2:
- Aufgrund einer deutlichen Verschärfung der Bedrohungslage sind die von Microsoft bereitgestellten Sicherheitsupdates möglichst sofort zu installieren.
- Sofern eine Aktualisierung nicht sofort möglich ist, muss ein nicht ausschließlich mittels VPN aus dem Internet erreichbarer Outlook Web Access Zugang sofort deaktiviert werden. Die Notwendigkeit der Erreichbarkeit von internen Diensten aus dem Internet, wie hier durch Exchange bereitgestellt, sollte unter Berücksichtigung des BSI IT-Grundschutzes (insbesondere NET.1.1 Netzarchitektur und -design - A11, NET.3.3 VPN) kritisch geprüft werden [BSI2021]. Da Exchange-Server immer wieder von kritischen Schwachstellen betroffen sind, die häufig - wie auch in diesem Fall - direkt über einen Fernzugriff aus dem Internet ausgenutzt werden können, besteht hierin eine besondere Wichtigkeit.
- Bei allen Systemen, die nicht sofort aktualisiert wurden, ist zu prüfen, ob es zu einer Kompromittierung gekommen ist. Hierzu müssen Exchange-Systeme auf bekannte Webshells untersucht werden.
- Von Microsoft wurde ein unter [MIC2021d] abrufbares Detektionsskript veröffentlicht, das die Überprüfung des Exchange-Servers auf eine mögliche Ausnutzung der Schwachstellen ermöglicht.
- Zur Orientierung bietet [CIS2021b] einen ausführlichen Leitfaden bzgl. des Vorgehens bei der Überprüfung von Exchange-Systemen.
- Um die Möglichkeit der Angriffsdetektion zu verbessern, sollte die Protokollierung der Exchange-Server und des Active Directory ausgeweitet werden. Hierzu sollte für die lokalen Logs der Speicherplatz erhöht werden und auf dem Domain Controller insbesondere die folgenden Ereignisse überwacht werden:
- Logging von Anmeldungen mit dem Computerkonto des Exchange IIS Servers (Event-ID 4624, LogonType=3, Authentication Package=NTLM, Account Name=)
- Detektion mit Hinblick auf privilegierte Berechtigungen im Active Directory, z. B. durch Logging von Änderungen in hochprivilegierten Gruppen und bei Benutzern (z. B. Veränderung der DACL, Event-ID 5136)
- Im Falle der Detektion einer Webshell muss das System und entsprechend der Berechtigungen ggf. weitere Systeme wie das Active Directory näher untersucht werden.
Organisationen, die in einem Malware Information Sharing Portal (MISP) Verbund angeschlossen sind, finden im MISPEvent "HAFNIUM - Mass attack on Microsoft Exchange Servers" (UUID: b7636c3e-a515-436b-a646-5ebd750df006) weitere Informationen.
Update 3:
Schwachstellen
- Es gilt weiterhin, dass die durch Microsoft bereitgestellten Sicherheitsupdates möglichst sofort zu installieren sind.
- Unternehmen und Organisationen, welcher außer Stande sind, die jeweilige Microsoft-Exchange-Umgebung unmittelbar zu aktualisieren, sollten die nachfolgenden Maßnahmen umsetzen:
- Die Dienste Unified Messaging (UM), Exchange Control Panel (ECP) VDir, und Offline Address Book (OAB) VDir Services müssen deaktiviert werden. Das Erstellen der Regeln zur Deaktivierung der Dienste ist im Detail in [MIC2021e] beschrieben.
- Im Anschluss muss OWA, ActiveSync, etc. deaktiviert werden.
- Dies sollte eine Ausnutzung der Schwachstelle verhindern, bis die notwendigen CU's und das Update aus [MIC2021c] installiert werden können.
- Bevor die Dienste wieder mit dem Internet verbunden werden, sollten die Exchange-Server überprüft werden. Hierzu können die Skripte [Exch2021a] und [Mic2021f] benutzt werden.
- Zur Überprüfung der Schwachstelle [MIC2021g] stellt Microsoft eine aktualisierte spezifische NMAP-Regel [MIC2021d] zur Verfügung.
Nach Berichten kann es bei der Nutzung des Skripts mit NMAP in Einzelfällen zu Fehlermeldungen kommen. Zur Behebung sollte beim Aufruf von NMAP der folgende Parameter ergänzt werden: "--min-rtt-timeout 3"
Kompromittierung
- Es ist weiterhin zu prüfen, ob es zu einer Kompromittierung gekommen ist. Hierzu müssen Exchange-Systeme auf bekannte Webshells untersucht werden.
- Um eine Überprüfung auf eine Kompromittierung zu ermöglichen, sollte kurzfristig technisch und organisatorisch sichergestellt werden, dass relevante Logs auf dem Server nicht gelöscht oder überschrieben werden. Die Verfahren des jeweils gültigen Notfallprozesses (Datenschutz/Betriebs- oder Personalrat) sind dabei zu berücksichtigen.
- Eine mögliche Shell wurde z. B. unter %PROGRAMFILES%\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy \owa\auth\ als RedirSuiteServerProxy.aspx abgelegt. Generell sind alle kürzlich erzeugten .aspx-Dateien verdächtig. Allerdings könnte eine Webshell auch in bestehende Dateien hinzugefügt werden, indem eine einzige Zeile eingefügt wird. Hinweis: Die RedirSuiteServiceProxy.aspx ist grundsätzlich legitim.
- Falls eine Webshell gefunden wird, sollte die Organisation in den Incident Response Modus übergehen. Um nachzuvollziehen, welche Befehle über die Webshell abgesetzt wurden, sollte zeitnah ein Arbeitsspeicher-Image erstellt werden. Dazu sollte das ganze System forensisch gesichert werden, um prüfen zu können, ob von diesem System ein Lateral Movement ins eigene Netzwerk erfolgte. Es sind die begleitenden Maßnahmen dieser Eskalation zu berücksichtigen. (Wirkungsbewertung, Ausweichmaßnahmen, Kunden-/MA-Kommunikation, ...) Sie finden eine Übersicht zu Incident Response Maßnahmen auf den Webseiten des BSI [BSI2021b].
Die originale Meldung des BSI ist hier aufrufbar: https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2021/2021-197772-1132.pdf?__blob=publicationFile&v=5
Folgende Handlungsempfehlung gibt Microsoft: https://techcommunity.microsoft.com/t5/exchange-team-blog/march-2021-exchange-server-security-updates-for-older-cumulative/ba-p/2192020
Bitte patchen/aktualisieren Sie alle oben aufgeführten Systeme, wenn der Sachverhalt auf ihre Systeme zutrifft!
Bei weiteren Rückfragen kontaktieren Sie möglichst Ihren internen oder externen IT-Administrator.