WatchGuard Blog

Angriff auf Exchange-Server: Was tun?

Die Meldungen rund um die jüngst aufgedeckten Schwachstellen von Exchange-Servern schlagen derzeit hohe Wellen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) sieht akuten Handlungsbedarf. Natürlich haben auch die Sicherheitsexperten von WatchGuard die Entwicklungen im Blick und raten allen Unternehmen, bei denen Exchange-Server on premise im Einsatz sind, umgehend die von Microsoft bereitgestellten Patches einzuspielen.

Doch was ist eigentlich passiert?

Der erste Verdacht im Hinblick auf offene Flanken von Exchange-Systemen regte sich bereits im Dezember 2020. Sicherheitsforscher entdecken konkrete Sicherheitslücken. Um die identifizierten Einfallstore zu schließen und den insgesamt vier identifizierten Schwachstellen den Schrecken zu nehmen, veröffentlichte Microsoft am 2. März 2021 ein vorgezogenes Software-Update. Mittlerweile ist jedoch bekannt geworden, dass eine vermutlich aus China operierende Ha­cker­gruppe namens Hafnium die sich bietende Chance bereits weitreichend zu nutzen wusste – mit Fokus auf lokal eingesetzten Exchange-Instanzen. Cloud-Exchange-Server sind nicht betroffen.

Das Angriffsmuster sieht dabei wie folgt aus: Im ersten Schritt liegt die Konzentration auf einer SSRF-Schwachstelle (Server-Side Request Forgery), die es dem Angreifer ermöglicht, auf den gesamten Inhalt eines Benutzerpostfachs zuzugreifen. Dafür muss er nur den Server kennen, auf dem die Exchange-Software läuft, sowie das Konto, dessen Daten abgegriffen werden sollen (CVE-2021-26855). Durch das Zusammenspiel mit den weiteren Schwachstellen ist der Angreifer in der Lage, aus der Ferne auf den Exchange-Server zuzugreifen (CVE-2021-27065), um eine Datei in einen beliebigen Pfad auf dem Server zu schreiben (CVE-2021-26858) bzw. Code als SYSTEM auszuführen (CVE-2021-26857).

Mittlerweile stellt Microsoft per GitHub PowerShell-Skripte und verschiedene weitere Tools zur Verfügung, die bei der Identifizierung kompromittierter Exchange-Server unterstützen sollen. Auch das Sicherheitsunternehmen Volexity, das den einschlägigen Angriffen auf die Spur gekommen ist, bietet in dem Zusammenhang hilfreiche Informationen, ähnlich denen von Microsoft.

Vor allem die Tatsache, dass Microsoft weiterhin vermehrt Angriffe auf ungepatchte Systeme beobachtet, die nicht in Verbindung mit Hafnium stehen, verdeutlicht die Dringlichkeit der Lage. Auch wenn aktuell davon ausgegangen wird, dass die Hafnium-Hacker die ersten waren, die die Chance ergriffen haben, sind sie aller Wahrscheinlichkeit nach nicht die einzigen. Umso mehr gilt es, schnellstmöglich alle sich bietenden Möglichkeiten zur Bedrohungsabwehr zu ergreifen.

Die wichtigsten Maßnahmen für Exchange-Anwender im Überblick:

  1. Identifizieren und patchen Sie anfällige Exchange Server-Systeme mit den von Microsoft herausgegebenen Sicherheitsupdates
  2. Folgen Sie den alternativen Empfehlungen von Microsoft, wenn Patches nicht sofort und flächendeckend ausgespielt werden können
  3. Nutzen Sie das PowerShell-Skript von Microsoft, um auf Ihrem Exchange-Server nach Indikatoren für eine Gefährdung zu suchen
  4. Aktivieren Sie die WatchGuard-Sicherheitsdienste für zusätzlichen Schutz

Mehrwert der einzelnen WatchGuard-Lösungen in diesem Szenario:

Panda AD360

Panda AD 360 erkennt PowerShell-Payloads und viele der Webshells, die bei diesem Angriff zum Tragen kommen.

IPS

Der Intrusion Prevention Service (IPS), der bei den WatchGuard-Appliances bereits zum Basis-Funktionsumfang gehört, umfasst Signaturen, um die initiale Bedrohung in der Exploit-Kette des Angriffs zu erkennen und abzuwehren.

Gateway AntiVirus

Auch der Dienst „Gateway AntiVirus“ ist in der Lage, die bei diesem Angriff verwendeten Webshells zu identifizieren und blockieren.

APT Blocker

APT Blocker erkennt erfolgreich die für diesen Angriff typischen, bösartigen PowerShell-Backdoors.

Firebox Access Portal und VPN

Die erste Angriffsstufe setzt einen mit dem Internet verbundenen Exchange-Server voraus. Die Angriffsfläche verringert sich automatisch, sobald Unternehmen diesen hinter dem Access Portal ihrer Firebox abschirmen.

Weitere Informationen zu den Abwehrmechanismen der WatchGuard-Lösungen stehen online zur Verfügung.