„Fenster“ steht offen: In 48 Stunden fast 2.000 Exchange-Server attackiert
Die Schlagzeilen rund um die Verletzlichkeit von Windows Exchange-Servern reißen nicht ab und erleben derzeit einen neuen Höhepunkt: Seit Ende letzter Woche läuft eine massive Angriffswelle, die es gezielt auf die vor Kurzem unter dem Namen „ProxyShell“ bekannt gewordenen Schwachstellen abgesehen hat. Experten gehen davon aus, dass allein in Deutschland 7.800 per Internet erreichbare Exchange-Server demgegenüber anfällig sind, weltweit ist von 46.000 die Rede.
Daher an dieser Stelle nochmals der dringende Hinweis, so schnell wie möglich die zur Verfügung stehenden Patches zu nutzen. Warten ist vor dem Hintergrund der aktuellen Bedrohungslage keine Option mehr. Und selbst dann gibt es keine Garantie, dass es nicht bereits eine Hintertür auf den eingesetzten Exchange-Systemen gibt. Stattdessen liegt die Wahrscheinlichkeit einer Infektion sogar relativ hoch: In den letzten Tagen haben Sicherheitsforscher binnen 48 Stunden die Übernahme von knapp 2.000 On-premise-Exchange-Servern durch installierte Webshells beobachtet.
Die Reißleine ziehen
Wie schon bei anderen, vergleichbaren Vorfällen in der Vergangenheit lautet die Empfehlung, im Zweifelsfall den HTTPS-Zugriff auf Exchange-Server (der im Hinblick auf die Anbindung von Microsoft Outlook in der Regel freigegeben ist) bis zum Patch lieber komplett zu kappen – selbst wenn darunter das Tagesgeschäft leidet. Zudem sollte das eigene System gezielt auf potenzielle Hinweise zur konkreten Gefahr durchleuchtet werden. So sind beispielsweise beim Intrusion Prevention Service, der bei den WatchGuard-Appliances zum Basis-Funktionsumfang gehört, die einem solchen Angriff zugrundeliegenden Signaturen mittlerweile enthalten. Die initiale Bedrohung in der Exploit-Kette lässt sich somit erkennen und in Folge abwehren. Auch ein aktivierter APT Blocker und Gateway AntiVirus sind in der Lage, die bei diesem Angriff verwendeten Webshells zu identifizieren und zu blockieren.
Noch ruhiger schlafen können Anwender der WatchGuard und Panda Endpoint-Security-Lösungen, da diese dem Zero-Trust-Prinzip folgen. Hierbei werden grundsätzlich alle Prozesse jedweder Anwendung überprüft – durch die ständige Überwachung und wiederholte Neubewertung aller Aktivitäten lässt sich dadurch nicht zuletzt ausschließen, dass eine ursprünglich als rechtmäßig eingestufte Aktivität (beispielsweise der üblicherweise zugelassene Austausch zum Exchange-Server) unentdeckt zur Stolperfalle mutiert. Zudem sollte hinsichtlich eventuell geltender Ausnahmeregelungen der eingesetzten EDR- und AntiVirus-Lösungen noch einmal genauer hingeschaut und gegebenenfalls nachjustiert werden. Denn nicht selten folgen Administratoren der in der Exchange-Dokumentation von Microsoft selbst getroffenen Empfehlung und schließen den damit zusammenhängenden Datenverkehr manuell von Security-Scans aus, da ja laut Hersteller angeblich sicher. Dieser Trugschluss kann Unternehmen in der aktuellen Situation natürlich massiv auf die Füße fallen. Von daher ist es immer besser, einmal zu viel als einmal zu wenig hinzusehen.
Detailliertes Hintergrundwissen zur von den ProxyShell-Schwachstellen ausgehenden Gefahr liefert in dem Zusammenhang auch der Beitrag von Kevin Beaumont.