In jüngster Vergangenheit gab es mehrere gezielte Angriffsversuche auf verschiedene Versionen des Exchange Servers, die Mircosoft in Alarmbereitschaft versetzt haben. Daraufhin hat Microsoft mehrere Sicherheitsupdates für Microsoft Exchange Server veröffentlicht. Die Updates schließen Sicherheitslücken, die in einigen Fällen für gezielte Attacken genutzt werden.
Angreifer nutzen Sicherheitslücken für Zugriff auf Exchange Server
Die Angreifer kombinierten bei Ihren Attacken verschiedene Sicherheitslücken die einen Zugriff auf den Exchange Server ermöglichten. Bei einem erfolgreichen Angriff ist demnach auch die Ausführung von Schadcode möglich. Auf diese Weise können die Angreifer ganze Server mit der Groupware-Software kompromittieren und beispielsweise interne E-Mails und Termine einsehen. Das gilt vor allem dann, wenn der Exchange-Server direkt über das Internet erreichbar ist.
Hinter den Angriffsversuchen steckt eine chinesische Hackergruppe namens “Hafnium”. Der entsprechende Blogpost von Microsoft spricht von mehreren Zero-Day-Exploits. Derzeit soll es sich laut Microsoft um “begrenzte gezielte Angriffe” handeln, die aber schnell durch automatische Bots ersetzt werden könnten.
Welche Umgebungen sind betroffen?
Aktuell betroffen von der Schwachstelle sind die lokalen Exchange Server 2010, 2013, 2016 und 2019. Exchange Online ist nicht beeinträchtigt.
Was muss ich tun?
Für die betroffenen Versionen hat Microsoft Sicherheitspatches zu den jeweils letzten CUs zur Verfügung gestellt. Um das Sicherheitsrisiko zu minimieren, empfehlen wir, unverzüglich die Patches für Ihre jeweilige Exchange-Umgebungen zu installieren.
Dazu sollten Sie zunächst auf die neuesten Exchange Cumulative Updates (CU) wechseln und dann die entsprechenden Sicherheitsupdates auf jedem Exchange Server installieren. Sie können das Skript „Exchange Server Health Checker“ nutzen, das Sie von GitHub herunterladen können (verwenden Sie bitte die neueste Version). Sobald Sie dieses Skript ausführen, können Sie feststellen, ob Sie mit den Updates für Ihren lokalen Exchange Server im Verzug sind (beachten Sie, dass das Skript Exchange Server 2010 nicht unterstützt).
Für Exchange 2013 gibt es einen Patch für CU23, bei Exchange 2016 für CU18 und CU19 und bei Exchange 2019 für CU7 und CU8. Wir haben die Downloadseiten bei den entsprechenden CUs verlinkt. Weitere Ressourcen zu den Microsoft Exchange Sicherheitsupdates finden Sie zudem hier:
- Exchange Server Security Updates für ältere Cumulative Updates (CUs): March 2021 Exchange Server Security Updates for older Cumulative Updates of Exchange Server – Microsoft Tech Community
- Übergreifender Blogpost mit den wichtigsten Informationen: Hafnium: Microsoft Exchange-Sicherheitsupdate zum Schutz vor neuen nationalstaatlichen Attacken verfügbar
- Informationen zu den Security Updates für Exchange Server:
- Brad Smith über eine Meldepflicht für Cyberangriffe: A digital strategy to defend the nation
- Zusammenfassung aller Informationen (PPT)
- 20-minütiger Webcast zu dem Thema
- Troubleshooting-Guide
Bitte besuchen Sie regelmäßig die hier geteilten Links und Quellen, da diese fortlaufend aktualisiert werden.
Wurde ich bereits angegriffen?
In den vergangenen Tagen sind bereits einige unserer Kunden auf uns zugekommen, weil Sie einen Angriff auf Ihren Exchange Server befürchten oder einen entsprechenden Hinweis in den ECP-Logs gefunden haben. Ein solcher Angriff muss aber nicht unbedingt darauf hinweisen, dass bereits Daten abgeflossen sind. Vielmehr platzieren die Hacker bei ihren Angriffen Webshells auf dem Server, über welche Daten – auch nach Einspielen des Patchs! – abgesaugt werden können.
Nach der erfolgreichen Aktualisierung aller Server empfehlen wir deshalb nachdrücklich, nach sogenannten Indicators of Compromise (IOCs) zu suchen, um auszuschließen, dass die Systeme kompromittiert worden sind. In diesem Artikel hat Microsoft Informationen zusammengefasst, die SOCs und Security Verantwortlichen dabei helfen sollen, proaktiv nach verdächtigen Aktivitäten in ihrer Umgebung zu suchen. Dort finden Sie auch die Indicators of Compromise (IOCs), Erkennungsrichtlinien und erweiterte Suchanfragen, mit denen Sie diese Aktivität mithilfe von Exchange-Serverprotokollen, Azure Sentinel, Microsoft Defender für Endpoint und Microsoft 365 Defender untersuchen können. Bitte führen Sie alle dort genannten Schritte aus. Weitere Informationen und Handlungsempfehlungen sind im Artikel verlinkt.
Zusätzlich empfehlen wir den Microsoft Safety Scanner auszuführen, um etwaige Malware zu identifizieren und unschädlich zu machen.
Etwaige Angriffsversuche sind gemäße DSGVO meldepflichtig!
Wichtig zu wissen: Wenn Sie auf Ihren Exchange-Servern Schadsoftware gefunden haben oder anderweitige Hinweise auf eine Kompromittierung (IOCs) vorliegen, dann sind Sie gemäß Artikel 33 Absatz 1 DS-GVO zu einer Meldung an die Aufsichtsbehörde verpflichtet. Dies geht auch aus einer entsprechenden Stellungnahme der Aufsichtsbehörde Baden-Württemberg vom 10.03.2021 zum Thema „Ausnutzung der Microsoft Exchange Schwachstelle“ hervor. Darin heißt es im Kernsatz:
„Wird bei der Überprüfung der Systeme die Ausnutzung der Schwachstelle festgestellt, so ist grundsätzlich von einer Meldepflicht an die Aufsichtsbehörde auszugehen. Nur in atypischen Konstellationen wird kein Risiko für die Rechte und Freiheiten von betroffenen Personen bestehen (vgl. Artikel 33 Absatz 1 DS-GVO). Ein Verzicht auf die Meldung sollte begründet und dokumentiert werden.“
Dokumentation der Maßnahmen empfohlen
Nicht zuletzt als Nachweis gegenüber der Aufsichtsbehörde empfehlen wir zwingend, sämtliche Maßnahmen, die Sie im Zusammenhang mit den Sicherheitslücken in MS Exchange durchführen, sorgfältig zu dokumentieren. Dazu gehört u.a.:
- Welche Untersuchungen wurden durchgeführt?
- Ergebnisse dieser Untersuchungen (wurden Systeme kompromittiert?)
- Welche Maßnahmen wurden getroffen, um die Sicherheit wieder herzustellen?
- Gab es bereits weitere Schäden durch die Sicherheitslücken, die bekannt geworden sind?
- Welche Maßnahmen wurden getroffen, um ggf. die weiteren Schäden zu minimieren?
Wenn Sie bei der Durchführung der erforderlichen Maßnahmen, dem Einspielen der Sicherheitspatches oder der Überprüfung Ihrer Exchange Server Umgebung auf etwaige Angriffsversuche Unterstützung brauchen oder Hinweise auf einen möglichen Angriffsversuch entdeckt haben, wenden Sie sich bitte an einen IT-Dienstleister Ihres Vertrauens. Auch der levigo Support steht Ihnen bei Bedarf gerne zur Verfügung.
Allen Admins, die das hier gerade lesen: Viel Glück beim Patchen, Ruhe bewahren & Backups nicht vergessen!