Microsoft Exchange-Server Angriff – HAFNIUM

Der im März öffentlich gewordene globale Microsoft Exchange E-Mail-Server Angriff hat mal wieder eindrücklich gezeigt, warum IT-Sicherheit weit über das rechtzeitige und zügige einspielen von Sicherheitspatches hinaus geht.

Was ist bei diesem Exchange-Server Angriff geschehen?

Am 2. März 2021 veröffentlichte Microsoft außerplanmäßige Sicherheitsupdates für die Exchange E-Mail-Server. Schnell wurde klar, dass die Patches mehrere Sicherheitslücken schlossen, die es ermöglichten, die Exchange-Server aus der Ferne ohne vorherige Bedingungen wie einen gekaperten User-Account oder andere interne Informationen zu übernehmen. Es galt also Systeme schnellstmöglich zu patchen, um zu verhindern, dass Hacker durch einen gezielten Exchange-Server Angriff den eigenen E-Mail-Server nach Belieben übernehmen konnten.

Schnell stellte sich allerdings heraus, dass es sich bei den gepatchten Schwachstellen um sogenannte Zero-Days handelte. Bei Zero-Days spricht man von Schwachstellen, bei denen es bis zum Zeitpunkt der Veröffentlichung des Updates bereits Hacker bzw. Gruppen von Hackern gab, die diese bereits aktiv ausnutzten, um Unternehmen und Organisationen anzugreifen. Zero-Days werden häufig von organisierten Gruppen aus Hackern genutzt, die auch als „Advanced Persisten Threats“ (APTs) bezeichnet werden. Die Schwachstelle mit der CVE-2021-26855, bezeichnet als ProxyLogon, wurde z.B. bereits am 10. Dez. 2020 entdeckt. Gemeinsam mit drei weiteren Schwachstellen (CVE-2021-26857, CVE-2021-26585 und CVE-2020-27065) wurden diese in den beschriebenen Exchange-Server Angriffen genutzt.

Anwendungsbereiche für Proxy Server:

Schon kurz nach der Veröffentlichung der Sicherheitsupdates wurde in der Folge bekannt, dass verschiedene Organisationen und IT-Sicherheits-Unternehmen schon seit Anfang Januar 2021 Hinweise darauf fanden, dass diese Schwachstellen aktiv für Angriffe auf Exchange-Server von Unternehmen genutzt wurden. Innerhalb dieses Zeitraums war es Angreifern, die Kenntnis von diesen Schwachstellen hatten, möglich, die Systeme von Opfern zu übernehmen. Ein solcher Exchange-Server Angriff gelang häufig ohne jede Gegenwehr und in den meisten Fällen, ohne dass es den Opfern überhaupt aufgefallen ist. Hierbei ist ein E-Mail-Server ein besonders interessantes Ziel, weil dieser in den meisten Fällen aus dem Internet erreichbar sein muss, um das Versenden und Empfangen von E-Mails zu ermöglichen.

Proxy Server

Dieser initiale Zugriff wurde in der Folge für die Installation von Backdoors, in diesem Fall sog. Web-Shells, genutzt. Diese erlauben es den Angreifern, nach Belieben auf das System zuzugreifen. Das wahrscheinlichste Ziel von Angreifern bei einem Exchange-Server Angriff ist dabei der Versuch, sich ausgehend vom E-Mails-System weiter im Netzwerk der Opfer auszubreiten. Die Kontrolle über das Netzwerk kann genutzt werden, um Informationen zu sammeln oder den Zugriff auf Daten durch das Opfer zu verhindern (siehe Ransomware). Umso kritischer ist die Situation, wenn Service-Accounts wie MS-Exchange über zu hohe Rechte innerhalb der Domäne verfügen und es einem Angreifer so leichter machen, sich im Netzwerk zu verbreiten.

Nach Veröffentlichung der Sicherheitsupdates wurde schnell deutlich, dass Millionen von Unternehmen weltweit für einen Exchange-Server Angriff angreifbar waren. In den Tagen und Wochen nach Veröffentlichung der Schwachstellen, stellten immer mehr Organisationen fest, dass sie Opfer eines Exchange-Server Angriffs geworden waren. Zwar ließ sich die Gefahr leicht durch das Installieren der Sicherheitsupdates vermeiden, dadurch allein waren Unternehmen aber noch nicht geschützt. Bei einer Kompromittierung oder auch der zu späten Einspielung der Patches, musste davon ausgegangen werden, dass die Angreifer entsprechende Backdoors im System hinterlassen haben. Diese zu finden, stellt eine Herausforderung dar.

Ist Dein Exchange-Server vor einem Angriff geschützt?
Lass Deine gesamte IT durch eine professionelle Schwachstellenanalyse überprüfen
Zum Schwachstellenanalyse

Wie erkenne ich, ob ich Opfer eines Exchange-Server Angriffs wurde, und wie kann ich mich davor schützen?

Wie Sie erkennen können, ob Sie Opfer eines Exchange-Server Angriffs waren und wie Sie damit umgehen sollten, haben wir in einem unserer regelmäßigen Security Advisories beschreiben.

Fokus dieses Beitrags soll jedoch nicht nur die richtige Reaktion auf diesen

Vorfall sein. Stattdessen wollen wir erläutern, welche Lehren und proaktiven Maßnahmen jeder aus den Beispielen der HAFNIUM-Angriffe ziehen sollte. Denn diese haben gezeigt, dass Vertrauen auf schnelle Updates durch Hersteller nicht ausreicht, um sich vor der Gefahr von Zero-Day-Schwachstellen zu schützen. Das rechtzeitige Einspielen von Updates ist nur ein Teil der Maßnahmen, die jedes Unternehmen treffen sollte, um die eigene IT-Sicherheit zu verbessern und sich im Vorfeld auf die nächste große Zero-Day-Schwachstelle vorzubereiten und sich vor Angriffen gegen Exchange-Server wehren zu können.

Grundlegende Maßnahmen

Netzwerksegmentierung und Netztrennung

Penetration Test durch unser Netzwerk

Leider sind die internen Netzwerke vieler Unternehmen auch heute noch sehr pragmatisch aufgebaut. Nach dem Motto “Hauptsache es funktioniert” gibt es hierbei wenig bis gar keine Trennung der Netzwerkbereiche in Zonen und Sicherheitsbereiche. Hierbei spricht man von einem “flachen” Netzwerk. Zwar hat diese Form der Netzwerkadministration den Vorteil, dass Netzwerkkommunikation ohne großen administrativen Aufwand möglich ist, der Nachteil liegt aber darin, dass das Netzwerk einem Angreifer nach der Überwindung der äußeren Firewall völlig offensteht. Im konkreten Fall kann ein Angreifer also auf das gesamte Netzwerk zugreifen, wenn ein übernommener Exchange-Server nicht von anderen Systemen getrennt in einer eigenen Netzwerkzone betrieben wurde.

Um sich vor dieser Gefahr zu schützen, sollten interne Netzwerke segmentiert und kritische Netzbereiche in der Folge separiert werden. Üblicherweise definiert man bei der Segmentierung verschiedene Netzwerkbereiche auf Basis des jeweiligen Schutzbedarfs. Die Zugriffsrechte der Systeme und Nutzer werden unterteilt und in spezifische Netzbereiche und VLANs zugordnet. In der Folge kann dann die weitere Trennung z.B. über Firewall-Routing realisiert werden, um den allgemeinen Zugriff zu beschränken. So können Zugriffe innerhalb des Netzwerks nach einer klar definierten Berechtigungsstruktur geregelt werden. Bei der Umsetzung empfiehlt sich dabei der Einsatz einer weiteren, von der Perimeter-Firewall unabhängigen, internen Firewall, bzw. eines Firewall-Clusters.

Microsoft Active Directory Hardening

Microsoft Active Directory ist ein weit verbreiteter Verzeichnisdienst, der von vielen Unternehmen weltweit eingesetzt wird. Der Verzeichnisdienst ist dabei eines der zentralen Organe innerhalb der IT-Infrastruktur und wird genutzt, um Identitäten und Rollen sowie deren Zugriffe auf Systeme, Ressourcen und Daten zu administrieren. Folglich gleicht eine Übernahme des Dienstes, z.B. durch die Kompromittierung eines Domänenadministrators, einer vollständigen Übernahme der IT-Infrastruktur des Unternehmens. Leider sind viele Active Directory Umgebungen auch heute noch nachlässig und unsicher konfiguriert. Passwörter sind zu kurz und wenig komplex, Admin-Konten werden für mehrere Zwecke und Nutzer verwendet und Sicherheitseinstellungen werden nicht aktiviert. Hinzu kommt, dass Microsoft bei seinen Diensten häufig nach dem Credo “Hauptsache es funktioniert, egal wie” agiert, damit Kunden einen möglichst geringen Aufwand bei der Inbetriebnahme und Administration haben. Das hat zur Folge, dass die Sicherheit hintenansteht. Um den Dienst ausreichend abzusichern, sind zahlreiche Maßnahmen wie z.B. ein Administrationskonzept, eine Härtung durch entsprechende GPO-Einstellungen und eine sichere Strukturierung notwendig. Hierzu gibt es sogar klare Best Practice Empfehlungen von Microsoft, wie z.B. die Unterteilung der Administration nach Schutzbedarf innerhalb des Tier-Konzepts.

Härtung der E-Mail-Infrastruktur

Die richtige Konfiguration der E-Mail-Infrastruktur ist für die Sicherheit von Organisationen von großer Bedeutung. E-Mail ist immer noch der Hauptverbreitungsweg von Malware und dadurch die größte Gefahrenquelle für die IT-Sicherheit des Unternehmens. Exchange-Server Angriffe stellen eine solche Gefahr da. Hierbei sollte beispielsweise darauf geachtet werden, dass Anwendungen wie die Outlook Wep Application (OWA) oder das Exchange Admin Center nicht aus ungesicherten und öffentlichen Netzwerken erreichbar ist. Leider geben viele Unternehmen diese Ressourcen ohne weitere Sicherheitsmaßnahmen wie eine 2-Faktorauthentifizierung oder Einschränkung des IP-Zugangs auf das Firmennetzwerk frei. Sicherheitsmechanismen und Lösungen wie E-Mail-Gateways bieten Schutz vor Spam, Malware und Phishing-Angriffen. Weitere empfohlene Maßnahmen sind die korrekte Konfiguration von SPF-Records, DKIM, und DMARC sowie die grundlegende Härtung der Hardware und Infrastruktur, auf der der E-Mail-Server betrieben wird.

Endpoint Protection

Lösungen zur Endpoint Protection haben sich von der traditionellen Antivirus-Software, die dazu in der Lage war, Malware auf Basis von Signaturen zu erkennen, hin zu Software, die auch das Verhalten von Programmen auf Auffälligkeiten untersuchen kann, entwickelt. 

Endpoint Detection and Response Wiki

Diese sogenannte Heuristischen Analysen ermöglichen das Erkennen von bis dahin nicht bekannter Schadsoftware. Hierzu gehören z.B. auch Web-Shells, wie sie in den Exchange-Server eingesetzt wurden. Neben der Erkennung, Meldung und automatischen Unterbindung der Ausführung von Malware, bieten viele Lösungen zusätzlich auch weitere Kontrollmöglichkeiten auf den Systemen, auf denen sie eingesetzt werden. So kann z.B. die Ausführung nicht genehmigter Software oder die Änderung der Konfiguration des Systems verhindert werden. Diese Funktionalitäten sind dabei auch außerhalb des Firmennetzwerks oder den üblichen Bürozeiten gewährleistet.

Ergänzende Maßnahmen

Intrusion Detection Systeme (IDS) und Intrusion Prevention Systeme (IPS)

Intrusion Detection System von ProSec

Intrusion Detection Systeme werden verwendet, um Angriffe auf Betriebssysteme und Anwendungen innerhalb des Netzwerks zu erkennen. Intrusion Prevention Systeme gehen noch einen Schritt weiter und reagieren auf solche Angriffe. Oftmals dauert es Monate, bis ein Unternehmen eine Schwachstelle im eigenen Produkt behebt und diese über die Veröffentlichung und Einspielung von Patches behoben wird. IDS/IPS können das Ausnutzen dieser Schwachstellen verhindern, sind aber kein Ersatz für ein sicheres Netzwerk-Design und Patch-Management.

Security Information and Event Management (SIEM)

Ein SIEM sammelt alle relevanten Informationen (wie z.B. Log-Dateien von IDS/IPS-Systemen, dem Active Directory, der Firewall, etc..) und erlaubt so die Echtzeit-Analyse und Erkennung von möglichen Exchange-Server Angriffen. Innerhalb des SIEM können Anwendungsfälle definiert werden, durch die beispielsweise Ereignisse wie die Neuanlage hochprivilegierter Konten innerhalb der Active Directory Umgebung erkannt werden. Letzteres wäre z.B. ein Indiz dafür, dass ein Angreifer bereits die Domäne kompromittiert hat und sich nun einen persistenten Zugang zum System einrichten möchte. Ein SIEM kann zudem für Threat Intelligence verwendet werden, um Anhand von IOCs (Indicator of compromise) die Entdeckungsrate zu erhöhen sowie die forensische Analyse unterstützen, wenn ein beispielsweise ein Exchange-Server Angriff festgestellt wurde.

Hast Du Interesse an einem IT- Sicherheitsaudit?
Dann ruf gerne an oder nutze unser Kontaktformular.
Jetzt Anfragen

Reaktiv

Der Mangel an grundsätzlichen Sicherheitsmaßnahmen bietet Hackern in vielen Organisations-Netzwerken eine große Fläche für Exchange-Server Angriffe oder ähnliche Vorgehen. Solche Härtefälle wie die dargestellten Schwachstellen in Microsoft Exchange reichen bereits aus, um Unternehmen in große Gefahr zu bringen. Neben diesen eher seltenen Fällen, gibt es aber auch viele weitere Bedrohungen und Risiken für Organisationen. Die wohl größte dieser Gefahren sind Phishing-E-Mails. Auch gegen diese Bedrohung sollten die zuvor beschriebenen Maßnahmen ergriffen werden. Der Ansatz einer sogenannten „Defense-in-depth-Strategie“, mit Sicherheitsmechanismen auf verschiedenen Schichten der Infrastruktur, versetzt Unternehmen in die Lage, sich gegen die Vielzahl der Bedrohungen zu schützen. Diese Maßnahmen können effektiv den unerlaubten Zugriff auf sensible Informationen verhindern und die Auswirkung von Cyberattacken wie Exchange-Server Angriffen stark einschränken. Dies ermöglicht es den Betroffenen, diese Bedrohungen und aktive Angriffe zu erkennen und angemessen zu reagieren.

Wenn Sie testen wollen, wie effektiv ihre IT-Sicherheitsmaßnahmen sind, oder Fragen zur Umsetzung unserer Handlungsempfehlungen haben, können Sie sich gerne jederzeit an uns wenden. ProSec unterstützt Sie gerne mit Penetration Testing und IT-Security-Consulting, damit die nächste große Zero-Day-Schwachstelle Ihr Unternehmen nicht existentiell bedrohen kann.

Lesson Learned

Der Mangel an grundsätzlichen Sicherheitsmaßnahmen bietet Hackern in vielen Organisations-Netzwerken eine große Fläche für Exchange-Server Angriffe oder ähnliche Vorgehen. Solche Härtefälle wie die dargestellten Schwachstellen in Microsoft Exchange reichen bereits aus, um Unternehmen in große Gefahr zu bringen. Neben diesen eher seltenen Fällen, gibt es aber auch viele weitere Bedrohungen und Risiken für Organisationen. Die wohl größte dieser Gefahren sind Phishing-E-Mails. Auch gegen diese Bedrohung sollten die zuvor beschriebenen Maßnahmen ergriffen werden. Der Ansatz einer sogenannten „Defense-in-depth-Strategie“, mit Sicherheitsmechanismen auf verschiedenen Schichten der Infrastruktur, versetzt Unternehmen in die Lage, sich gegen die Vielzahl der Bedrohungen zu schützen. Diese Maßnahmen können effektiv den unerlaubten Zugriff auf sensible Informationen verhindern und die Auswirkung von Cyberattacken wie Exchange-Server Angriffen stark einschränken. Dies ermöglicht es den Betroffenen, diese Bedrohungen und aktive Angriffe zu erkennen und angemessen zu reagieren.

Wenn Sie testen wollen, wie effektiv ihre IT-Sicherheitsmaßnahmen sind, oder Fragen zur Umsetzung unserer Handlungsempfehlungen haben, können Sie sich gerne jederzeit an uns wenden. ProSec unterstützt Sie gerne mit Penetration Testing und IT-Security-Consulting, damit die nächste große Zero-Day-Schwachstelle Ihr Unternehmen nicht existentiell bedrohen kann.

ANDERE BEITRÄGE
Configuration Management Darstellung Knowledge Base
Configuration Management

Was ist Configuration Management? Konfigurationsmanagement oder im englischen Configuration Management (CM) ist ein Prozess zur Herstellung und Erhaltung eines einheitlichen

Mehr lesen »

Inhaltsverzeichnis

Wir verwenden Cookies, um Ihnen die bestmögliche Erfahrung zu bieten. Wenn Sie unsere Website weiterhin besuchen, stimmen Sie der Verwendung von Cookies zu, wie in unserer Datenschutzerklärung beschrieben.