Warnung vor Hackerangriffen auf Microsoft Exchange-Server: Hintergründe und erforderliche Maßnahmen zur Risikominimierung
Das BSI warnt derzeit vor mehreren Schwachstellen in Microsoft Exchange (MS Exchange). Die IT-Bedrohungslage ist mit „3/orange“ gekennzeichnet. Das bedeutet, dass sie geschäftskritisch ist und eine massive Beeinträchtigung des Regelbetriebs zur Folge haben kann. Die Angriffe werden von Microsoft der Hafnium-Gruppe, einer vermutlich staatlich gesponsorten Hackergruppe, zugerechnet.
1. Zielgruppe des Hackerangriffs: Wer ist betroffen?
Das BSI verweist auf eine Analyse des IT-Dienstleisters Shodan, nach der in Deutschland 57.000 Server angreifbar und mit hoher Wahrscheinlichkeit bereits mit Schadsoftware infiziert worden sind. Das Risiko für erfolgreiche Angriffe besteht insbesondere für alle aus dem Internet erreichbaren Exchange-Server, zum Beispiel Outlook Web Access (OWA), wenn die Verbindung nicht ausschließlich mittels VPN erfolgt. Neben OWA sind Server mit Exchange Web-Diensten wie ActiveSync, Unified Messaging (UM), Exchange Control Panel (ECP), VDir, Offline Address Book (OAB) sowie VDir Services verwundbar. Betroffen sind Unternehmen und Behörden jeder Art und Größe. Die Meldung des BSI lesen Sie hier: Mehrere Schwachstellen in MS Exchange
2. Art des Hackerangriffs und seine Folgen: Mit dem Einspielen des Patches ist das Problem nicht gelöst
Laut des renommierten US-Sicherheitsexperten Brian Krebs ist Microsoft seit Anfang Januar 2021 eine Sicherheitslücke im Exchange-Server bekannt. Diese Sicherheitslücke besteht aus vier Schwachstellen, die Hackern sowohl den Zugriff auf Unternehmensdaten als auch die Installation von Schadsoftware erlauben. Bei den beobachteten Angriffen wurde Zugang zu den E-Mail-Accounts erlangt sowie weitere Malware zur Langzeit-Persistenz installiert. Die Art der Angriffe wird vom BSI als ungewöhnlich aggressiv beschrieben.
In der Nacht zum 3. März 2021 hat Microsoft ein neues Sicherheitsupdate für den Exchange-Server bereitgestellt, mittels dessen die vier Schwachstellen beseitigt werden können. Das erfolgreiche Einspielen des Patchs schließt jedoch nur das Einfallstor. Ist jedoch schon zuvor zur Kompromittierung des Exchange-Servers und möglicherweise weiterer Systeme, also der Infizierung mit Schadsoftware, gekommen, besteht nach wie vor ein Risiko. Die Hacker haben dann unter Umständen bereits Hintertüren (sog. Webshells) platziert, die für spätere Erpressungen, Datendiebstahl oder lateraler Bewegung in das interne Netzwerk verwendet werden können.
3. Erforderliche Maßnahmen zur Risikominimierung: Was es nun schnellstmöglich zu tun gilt, um die Gefahr zu bannen
- Sofern noch nicht geschehen, gilt es schnellstmöglich das Sicherheitsupdate vom 3. März einzuspielen.
- Da bei betroffenen Systemen von einer Kompromittierung ausgegangen werden sollte, sind diese zu isolieren, um laterale Bewegungen von Angreifern zu unterbinden.
- Anschließend müssen Detektions- und Reaktionsschritte eingeleitet werden, um Schadsoftware soweit möglich zu erkennen und zu beseitigen. Zu diesem Zweck stellt Microsoft Hilfsprogramme und Hinweise bereit:
- Bei der Neuinstallation des Exchange Servers sollte darauf geachtet werden, die Daten aus vertrauenswürdigen Datensicherungen einzuspielen.
- Ist es zu einer Kompromittierung gekommen, ist zu klären, welcher Schaden entstanden ist und darauf zu reagieren ist:
- Angriffe sollten u.a. durch Analyse des Netzwerkverkehrs, Auswertung von Logs, möglichen Benutzeranlagen, Änderungen an Systemjobs sowie verdächtigen Logins rekonstruiert werden. Dabei sollte insbesondere festgestellt werden, ob weitere IT-Systeme betroffen bzw. kompromittiert wurden.
- Zudem ist zu eruieren, ob personenbezogene Daten entwendet wurden, also Meldungen an Datenschutzbehörden vorzunehmen sind.
4. Langfristige Implikationen: Was Unternehmen umsetzen sollten, um die Auswirkungen künftiger Angriffe zu minimieren
Die Fachwelt ist sich einig, dass Angriffe wie das momentane massenhafte Ausnutzen der Schwachstellen von Exchange-Servern nur ein Vorgeschmack auf künftige Vorfälle sind. Auch wenn das Vorliegen von Schwachstellen in marktgängigen Softwareprodukten von Unternehmen i. d. R. nicht beeinflusst werden kann, so bestehen dennoch zahlreiche Möglichkeiten, beim Auftreten eines solchen Szenarios die Auswirkungen eines Angriffs zu minimieren und die Nachverfolgbarkeit des Angriffs zu gewährleisten. Dazu gehören u.a.:
- Netzwerksegmentierung, um kritische interne Systeme von Systemen, die durch das Internet zugreifbar sind, abzuschirmen
- Einsatz von Ende-zu-Ende Verschlüsselung und VPN
- Sicherheits-Bewusstsein und Richtlinien (z.B. Verbot, kritische Daten wie Kennwörter per E-Mail zu versenden)
- Privilegien für technische und personalisierte Benutzer, auf das Notwendigste einzuschränken
- Backups zur Gewährleistung der Neuinstallation/Wiederherstellbarkeit von Systemen im Worstcase
- Sicherung von Logdateien, um Angriffe rekonstruieren zu können
- Einrichtung eines Information Security Management System (ISMS)
- Nutzung von technischen Sicherheitslösungen nach dem neuesten Stand der Technik, z.B. Moving Target Security Lösungen
Hierbei sollten sich Unternehmen darüber im Klaren sein, dass hohe Sicherheitshürden die Wahrscheinlichkeit erhöhen, dass Angreifer zu leichteren Zielen wechseln werden.