Microsoft Exchange Lücken

Mehrere Sicherheitslücken in der Server-Software von Microsoft Exchange 2010, 2013, 2016 und 2019 wurden mindestens zwei Monate unentdeckt für Cyber-Attacken ausgenutzt. Weltweit sollen 250’000 Exchange-Server von der Zero-Day-Attacke betroffen sein. Cyberkriminelle haben bereits damit begonnen, zuvor kompromittierte Microsoft-Exchange-Server mit Ransomware zu verschlüsseln. Im folgenden Beitrag zeigen wir die Hintergründe der Attacke und mögliche Massnahmen für betroffene Unternehmen auf.

Was war das Problem?

Die Server-Software von Microsoft Exchange 2010, 2013, 2016 und 2019 weisen vier bis vor kurzem unbekannte Sicherheitslücken auf, die Angreifern ermöglichen, den Server unter ihre Kontrolle zu bringen.

Die Sicherheitslücke wurde als erstes von der Cyberspionage APT-Gruppe¹ «Hafnium» ausgenutzt, die sich hauptsächlich an Unternehmen in den USA richtete. In der Zwischenzeit haben mehrere andere Gruppierungen die Sicherheitslücken genutzt, um weltweit Daten zu exfiltrieren und Malware zu verbreiten.

Folgende Sicherheitslücken werden ausgenutzt:

• CVE-2021-26855 wird für serverseitige Anforderungsfälschung (SSRF) genutzt und ermöglicht die Remotecodeausführung
• Mit CVE-2021-26857 kann beliebiger Code auf dem Server als System ausgeführt werden (hierfür sind Administratorenrechte oder der Exploit der vorherigen Schwachstelle erforderlich)
• CVE-2021-26858 & CVE-2021-27065 sind Schwachstellen, mit denen – nach der Authentisierung – beliebige Dateien auf dem Exchange-Server überschrieben werden können

Die Bedrohung wird aufgrund der aktiven Ausnutzung und weit verbreitetem Einsatz von MS Exchange-Server-Produkten als schwerwiegend eingestuft.

Am 6. Januar 2021 wurden von der Sicherheitsfirma Volexity² erste Angriffe über unbekannte Schwachstellen in Exchange beobachtet. Microsoft bestätigte, dass es sich um unbekannte Sicherheitslücken (Zero-Day) handelt und arbeitet an einem Patch, um die Lücken zu schliessen.

Am 27. Februar 2021 gingen die Angreifer mit ihren Zero-Day-Attacken in die Breite. Sie scannten grossflächig das Internet nach verwundbaren Systemen ab und griffen diese an.

Am 2. März 2021 veröffentlichte Microsoft Sicherheits-Updates für die Exchange-Server-Familie. Von Forschern durchgeführte Scans zeigen, dass es am 5. März rund 250’000 anfällige Server gab. Diese Zahl sank in den nächsten zehn Tagen auf rund 60’000. Die anfängliche Eile der Unternehmen mit dem raschen Verteilen der Patches hat die Anzahl der gefährdeten Systeme erheblich verringert.

Folgen der Zero-Day-Lücken

Obwohl der anfängliche Fokus der Angriffe auf der Beschaffung von Informationen lag, scheinen Angreifer die Sicherheitslücken für Ransomware-Attacken auszunutzen. Dabei wurde die neue DearCry-Ransomware bereits in EU-Ländern, Indonesien, Indien und den USA erfolgreich eingesetzt.

Neben der Bedrohung durch die diversen ATP³ und der damit einhergehenden Industriespionage haben sich nun auch Hackergruppierungen daran gemacht, die verwundbaren Server zu kompromittieren und mit Ransomware die Betreiber zu erpressen. Wie es scheint, tritt der aktuelle DearCry-Exploit nun das WannaCry-Erbe an.

Da rund 12’000 Schweizer Exchange-Systeme Ziel dieser Angriffe sind, sind vor allem auch die Schweizer Systemverantwortlichen gefordert.

Was kann ein Unternehmen nun tun?

Installieren Sie die von Microsoft bereitgestellten Patches⁴ für Microsoft-Exchange-Server. Sollte es unmöglich sein, die Updates zu installieren, empfiehlt Microsoft einige Workarounds⁵.

Microsoft aktualisiert ständig seine Hinweise und hat Leitlinien und ein Tool⁶ zur Schadensbegrenzung veröffentlicht.

Verfügen Sie nicht über die erforderlichen Kapazitäten zur Bewältigung dieser Bedrohung, stellen Sie geeignete Ressourcen durch Dritte bereit.

Organisationen, die betroffene Exchange-Versionen verwenden, wird empfohlen, die Schwachstellen sofort zu beheben und ihre Systeme auf Kompromissindikatoren⁷ wie aussergewöhnliche Netzaktivitäten, besondere Dateien, Einträge in Logfiles oder gestartete Prozesse zu untersuchen.

Fazit

Es überrascht wie erfolgreich und grossflächig die bis vor kurzem unbekannten Schwachstellen ausgenutzt werden. Wer die betroffenen Exchange-Versionen verwendet, kann sich nur schwer Gewissheit verschaffen, ob die eigenen Systeme betroffen sind. Es ist unerlässlich die benötigten Ressourcen zur Bewältigung von Sicherheitsbedrohungen zur Verfügung zu stellen.

Das Patching und die Bereinigungsaktivitäten des betroffenen Exchange-Systems greifen deutlich zu kurz. Sobald automatische Ausbreitungsroutinen oder auch manuelle Ausbreitungsaktivitäten ins Spiel kommen, kann unmittelbar davon ausgegangen werden, dass weitere Systeme betroffen sind. Dazu kommt, dass Exchange-Server häufig hochprivilegierten Zugriff auf die Windows-AD-Umgebung oder Nutzer mit Domain-Admin-Berechtigung auf Exchange-Servern arbeiten.

Mit dem Bekanntwerden weiterer ähnlicher Sicherheitslücken ist jederzeit zu rechnen. Wer jetzt nicht umgehend handelt, reagiert fahrlässig und gefährdet die Sicherheit des Unternehmens.

Quellenangaben

[1] Ein Who is Who der Hacker
https://www.fireeye.de/current-threats/apt-groups.html [21.03.202]
[2] Operation Exchange Marauder: Active Exploitation of Multiple Zero-Day Microsoft Exchange Vulnerabilities
https://www.volexity.com/blog/2021/03/02/active-exploitation-of-microsoft-exchange-zero-day-vulnerabilities/ [21.03.202]
[3] Number of APT groups exploiting the latest Exchange vulnerabilities grows, with thousands of email servers under siege, ESET discovers
https://www.eset.com/us/about/newsroom/press-releases/number-of-apt-groups-exploiting-the-latest-exchange-vulnerabilities-grows-with-thousands-of-email-s-1/ [22.03.202]
[4] March 2021 Exchange-Server Security Updates
https://techcommunity.microsoft.com/t5/exchange-team-blog/released-march-2021-exchange-server-security-updates/ba-p/2175901 [21.03.202]
[5] Microsoft Exchange-Server Vulnerabilities Mitigations
https://msrc-blog.microsoft.com/2021/03/05/microsoft-exchange-server-vulnerabilities-mitigations-march-2021/ [21.03.202]
[6] One-Click Microsoft Exchange On-Premises Mitigation-Tool
https://msrc-blog.microsoft.com/2021/03/15/one-click-microsoft-exchange-on-premises-mitigation-tool-march-2021/ [21.03.202]
[7] Breaking News Exchange Hack: Unser SOC-Team deckt aggressive Ausbreitungslogik in platzierter Schadsoftware auf!
https://www.secion.de/blog-details/exchange-hack-deep-dive [21.03.202]

Autorenteam:

Daniel Mühlethaler linkedin.com/in/dmuehlethaler
Roman Arocker linkedin.com/in/rarocker

---

Persönliche Beratung

Sie würden sich gerne persönlich beraten lassen? Senden Sie ein E-Mail an martina.dallavecchia@fhnw.ch und vereinbaren Sie einen Termin.

Dozenten in diesem sehr praxisorientierten Lehrgang sind:

Martina Dalla Vecchia (FHNW, Programmleitung)
Lukas Fässler (FSDZ Rechtsanwälte & Notariat AG)
Rainer Kessler (PwC)
Andreas Wisler (goSecurity GmbH)

Cybersecurity und Hacking für Schweizer KMU

Cybersecurity: Chancen & Gefahren der künstlichen Intelligenz