Der im März öffentlich gewordene globale Microsoft Exchange E-Mail-Server Angriff hat mal wieder eindrücklich gezeigt, warum IT-Sicherheit weit über das rechtzeitige und zügige einspielen von Sicherheitspatches hinaus geht.
Am 2. März 2021 veröffentlichte Microsoft außerplanmäßige Sicherheitsupdates für die Exchange E-Mail-Server. Schnell wurde klar, dass die Patches mehrere Sicherheitslücken schlossen, die es ermöglichten, die Exchange-Server aus der Ferne ohne vorherige Bedingungen wie einen gekaperten User-Account oder andere interne Informationen zu übernehmen. Es galt also Systeme schnellstmöglich zu patchen, um zu verhindern, dass Hacker durch einen gezielten Exchange-Server Angriff den eigenen E-Mail-Server nach Belieben übernehmen konnten.
Schnell stellte sich allerdings heraus, dass es sich bei den gepatchten Schwachstellen um sogenannte Zero-Days handelte. Bei Zero-Days spricht man von Schwachstellen, bei denen es bis zum Zeitpunkt der Veröffentlichung des Updates bereits Hacker bzw. Gruppen von Hackern gab, die diese bereits aktiv ausnutzten, um Unternehmen und Organisationen anzugreifen. Zero-Days werden häufig von organisierten Gruppen aus Hackern genutzt, die auch als „Advanced Persisten Threats“ (APTs) bezeichnet werden. Die Schwachstelle mit der CVE-2021-26855, bezeichnet als ProxyLogon, wurde z.B. bereits am 10. Dez. 2020 entdeckt. Gemeinsam mit drei weiteren Schwachstellen (CVE-2021-26857, CVE-2021-26585 und CVE-2020-27065) wurden diese in den beschriebenen Exchange-Server Angriffen genutzt.
Schon kurz nach der Veröffentlichung der Sicherheitsupdates wurde in der Folge bekannt, dass verschiedene Organisationen und IT-Sicherheits-Unternehmen schon seit Anfang Januar 2021 Hinweise darauf fanden, dass diese Schwachstellen aktiv für Angriffe auf Exchange-Server von Unternehmen genutzt wurden. Innerhalb dieses Zeitraums war es Angreifern, die Kenntnis von diesen Schwachstellen hatten, möglich, die Systeme von Opfern zu übernehmen. Ein solcher Exchange-Server Angriff gelang häufig ohne jede Gegenwehr und in den meisten Fällen, ohne dass es den Opfern überhaupt aufgefallen ist. Hierbei ist ein E-Mail-Server ein besonders interessantes Ziel, weil dieser in den meisten Fällen aus dem Internet erreichbar sein muss, um das Versenden und Empfangen von E-Mails zu ermöglichen.
Dieser initiale Zugriff wurde in der Folge für die Installation von Backdoors, in diesem Fall sog. Web-Shells, genutzt. Diese erlauben es den Angreifern, nach Belieben auf das System zuzugreifen. Das wahrscheinlichste Ziel von Angreifern bei einem Exchange-Server Angriff ist dabei der Versuch, sich ausgehend vom E-Mails-System weiter im Netzwerk der Opfer auszubreiten. Die Kontrolle über das Netzwerk kann genutzt werden, um Informationen zu sammeln oder den Zugriff auf Daten durch das Opfer zu verhindern (siehe Ransomware). Umso kritischer ist die Situation, wenn Service-Accounts wie MS-Exchange über zu hohe Rechte innerhalb der Domäne verfügen und es einem Angreifer so leichter machen, sich im Netzwerk zu verbreiten.
Nach Veröffentlichung der Sicherheitsupdates wurde schnell deutlich, dass Millionen von Unternehmen weltweit für einen Exchange-Server Angriff angreifbar waren. In den Tagen und Wochen nach Veröffentlichung der Schwachstellen, stellten immer mehr Organisationen fest, dass sie Opfer eines Exchange-Server Angriffs geworden waren. Zwar ließ sich die Gefahr leicht durch das Installieren der Sicherheitsupdates vermeiden, dadurch allein waren Unternehmen aber noch nicht geschützt. Bei einer Kompromittierung oder auch der zu späten Einspielung der Patches, musste davon ausgegangen werden, dass die Angreifer entsprechende Backdoors im System hinterlassen haben. Diese zu finden, stellt eine Herausforderung dar.
Wie Sie erkennen können, ob Sie Opfer eines Exchange-Server Angriffs waren und wie Sie damit umgehen sollten, haben wir in einem unserer regelmäßigen Security Advisories beschreiben.
Fokus dieses Beitrags soll jedoch nicht nur die richtige Reaktion auf diesen
Vorfall sein. Stattdessen wollen wir erläutern, welche Lehren und proaktiven Maßnahmen jeder aus den Beispielen der HAFNIUM-Angriffe ziehen sollte. Denn diese haben gezeigt, dass Vertrauen auf schnelle Updates durch Hersteller nicht ausreicht, um sich vor der Gefahr von Zero-Day-Schwachstellen zu schützen. Das rechtzeitige Einspielen von Updates ist nur ein Teil der Maßnahmen, die jedes Unternehmen treffen sollte, um die eigene IT-Sicherheit zu verbessern und sich im Vorfeld auf die nächste große Zero-Day-Schwachstelle vorzubereiten und sich vor Angriffen gegen Exchange-Server wehren zu können.
Leider sind die internen Netzwerke vieler Unternehmen auch heute noch sehr pragmatisch aufgebaut. Nach dem Motto “Hauptsache es funktioniert” gibt es hierbei wenig bis gar keine Trennung der Netzwerkbereiche in Zonen und Sicherheitsbereiche. Hierbei spricht man von einem “flachen” Netzwerk. Zwar hat diese Form der Netzwerkadministration den Vorteil, dass Netzwerkkommunikation ohne großen administrativen Aufwand möglich ist, der Nachteil liegt aber darin, dass das Netzwerk einem Angreifer nach der Überwindung der äußeren Firewall völlig offensteht. Im konkreten Fall kann ein Angreifer also auf das gesamte Netzwerk zugreifen, wenn ein übernommener Exchange-Server nicht von anderen Systemen getrennt in einer eigenen Netzwerkzone betrieben wurde.
Microsoft Active Directory ist ein weit verbreiteter Verzeichnisdienst, der von vielen Unternehmen weltweit eingesetzt wird. Der Verzeichnisdienst ist dabei eines der zentralen Organe innerhalb der IT-Infrastruktur und wird genutzt, um Identitäten und Rollen sowie deren Zugriffe auf Systeme, Ressourcen und Daten zu administrieren. Folglich gleicht eine Übernahme des Dienstes, z.B. durch die Kompromittierung eines Domänenadministrators, einer vollständigen Übernahme der IT-Infrastruktur des Unternehmens. Leider sind viele Active Directory Umgebungen auch heute noch nachlässig und unsicher konfiguriert. Passwörter sind zu kurz und wenig komplex, Admin-Konten werden für mehrere Zwecke und Nutzer verwendet und Sicherheitseinstellungen werden nicht aktiviert. Hinzu kommt, dass Microsoft bei seinen Diensten häufig nach dem Credo “Hauptsache es funktioniert, egal wie” agiert, damit Kunden einen möglichst geringen Aufwand bei der Inbetriebnahme und Administration haben. Das hat zur Folge, dass die Sicherheit hintenansteht. Um den Dienst ausreichend abzusichern, sind zahlreiche Maßnahmen wie z.B. ein Administrationskonzept, eine Härtung durch entsprechende GPO-Einstellungen und eine sichere Strukturierung notwendig. Hierzu gibt es sogar klare Best Practice Empfehlungen von Microsoft, wie z.B. die Unterteilung der Administration nach Schutzbedarf innerhalb des Tier-Konzepts.
Die richtige Konfiguration der E-Mail-Infrastruktur ist für die Sicherheit von Organisationen von großer Bedeutung. E-Mail ist immer noch der Hauptverbreitungsweg von Malware und dadurch die größte Gefahrenquelle für die IT-Sicherheit des Unternehmens. Exchange-Server Angriffe stellen eine solche Gefahr da. Hierbei sollte beispielsweise darauf geachtet werden, dass Anwendungen wie die Outlook Wep Application (OWA) oder das Exchange Admin Center nicht aus ungesicherten und öffentlichen Netzwerken erreichbar ist. Leider geben viele Unternehmen diese Ressourcen ohne weitere Sicherheitsmaßnahmen wie eine 2-Faktorauthentifizierung oder Einschränkung des IP-Zugangs auf das Firmennetzwerk frei. Sicherheitsmechanismen und Lösungen wie E-Mail-Gateways bieten Schutz vor Spam, Malware und Phishing-Angriffen. Weitere empfohlene Maßnahmen sind die korrekte Konfiguration von SPF-Records, DKIM, und DMARC sowie die grundlegende Härtung der Hardware und Infrastruktur, auf der der E-Mail-Server betrieben wird.
Lösungen zur Endpoint Protection haben sich von der traditionellen Antivirus-Software, die dazu in der Lage war, Malware auf Basis von Signaturen zu erkennen, hin zu Software, die auch das Verhalten von Programmen auf Auffälligkeiten untersuchen kann, entwickelt.
Diese sogenannte Heuristischen Analysen ermöglichen das Erkennen von bis dahin nicht bekannter Schadsoftware. Hierzu gehören z.B. auch Web-Shells, wie sie in den Exchange-Server eingesetzt wurden. Neben der Erkennung, Meldung und automatischen Unterbindung der Ausführung von Malware, bieten viele Lösungen zusätzlich auch weitere Kontrollmöglichkeiten auf den Systemen, auf denen sie eingesetzt werden. So kann z.B. die Ausführung nicht genehmigter Software oder die Änderung der Konfiguration des Systems verhindert werden. Diese Funktionalitäten sind dabei auch außerhalb des Firmennetzwerks oder den üblichen Bürozeiten gewährleistet.
Intrusion Detection Systeme werden verwendet, um Angriffe auf Betriebssysteme und Anwendungen innerhalb des Netzwerks zu erkennen. Intrusion Prevention Systeme gehen noch einen Schritt weiter und reagieren auf solche Angriffe. Oftmals dauert es Monate, bis ein Unternehmen eine Schwachstelle im eigenen Produkt behebt und diese über die Veröffentlichung und Einspielung von Patches behoben wird. IDS/IPS können das Ausnutzen dieser Schwachstellen verhindern, sind aber kein Ersatz für ein sicheres Netzwerk-Design und Patch-Management.
Ein SIEM sammelt alle relevanten Informationen (wie z.B. Log-Dateien von IDS/IPS-Systemen, dem Active Directory, der Firewall, etc..) und erlaubt so die Echtzeit-Analyse und Erkennung von möglichen Exchange-Server Angriffen. Innerhalb des SIEM können Anwendungsfälle definiert werden, durch die beispielsweise Ereignisse wie die Neuanlage hochprivilegierter Konten innerhalb der Active Directory Umgebung erkannt werden. Letzteres wäre z.B. ein Indiz dafür, dass ein Angreifer bereits die Domäne kompromittiert hat und sich nun einen persistenten Zugang zum System einrichten möchte. Ein SIEM kann zudem für Threat Intelligence verwendet werden, um Anhand von IOCs (Indicator of compromise) die Entdeckungsrate zu erhöhen sowie die forensische Analyse unterstützen, wenn ein beispielsweise ein Exchange-Server Angriff festgestellt wurde.
Der Mangel an grundsätzlichen Sicherheitsmaßnahmen bietet Hackern in vielen Organisations-Netzwerken eine große Fläche für Exchange-Server Angriffe oder ähnliche Vorgehen. Solche Härtefälle wie die dargestellten Schwachstellen in Microsoft Exchange reichen bereits aus, um Unternehmen in große Gefahr zu bringen. Neben diesen eher seltenen Fällen, gibt es aber auch viele weitere Bedrohungen und Risiken für Organisationen. Die wohl größte dieser Gefahren sind Phishing-E-Mails. Auch gegen diese Bedrohung sollten die zuvor beschriebenen Maßnahmen ergriffen werden. Der Ansatz einer sogenannten „Defense-in-depth-Strategie“, mit Sicherheitsmechanismen auf verschiedenen Schichten der Infrastruktur, versetzt Unternehmen in die Lage, sich gegen die Vielzahl der Bedrohungen zu schützen. Diese Maßnahmen können effektiv den unerlaubten Zugriff auf sensible Informationen verhindern und die Auswirkung von Cyberattacken wie Exchange-Server Angriffen stark einschränken. Dies ermöglicht es den Betroffenen, diese Bedrohungen und aktive Angriffe zu erkennen und angemessen zu reagieren.
Wenn Sie testen wollen, wie effektiv ihre IT-Sicherheitsmaßnahmen sind, oder Fragen zur Umsetzung unserer Handlungsempfehlungen haben, können Sie sich gerne jederzeit an uns wenden. ProSec unterstützt Sie gerne mit Penetration Testing und IT-Security-Consulting, damit die nächste große Zero-Day-Schwachstelle Ihr Unternehmen nicht existentiell bedrohen kann.
Der Mangel an grundsätzlichen Sicherheitsmaßnahmen bietet Hackern in vielen Organisations-Netzwerken eine große Fläche für Exchange-Server Angriffe oder ähnliche Vorgehen. Solche Härtefälle wie die dargestellten Schwachstellen in Microsoft Exchange reichen bereits aus, um Unternehmen in große Gefahr zu bringen. Neben diesen eher seltenen Fällen, gibt es aber auch viele weitere Bedrohungen und Risiken für Organisationen. Die wohl größte dieser Gefahren sind Phishing-E-Mails. Auch gegen diese Bedrohung sollten die zuvor beschriebenen Maßnahmen ergriffen werden. Der Ansatz einer sogenannten „Defense-in-depth-Strategie“, mit Sicherheitsmechanismen auf verschiedenen Schichten der Infrastruktur, versetzt Unternehmen in die Lage, sich gegen die Vielzahl der Bedrohungen zu schützen. Diese Maßnahmen können effektiv den unerlaubten Zugriff auf sensible Informationen verhindern und die Auswirkung von Cyberattacken wie Exchange-Server Angriffen stark einschränken. Dies ermöglicht es den Betroffenen, diese Bedrohungen und aktive Angriffe zu erkennen und angemessen zu reagieren.
Wenn Sie testen wollen, wie effektiv ihre IT-Sicherheitsmaßnahmen sind, oder Fragen zur Umsetzung unserer Handlungsempfehlungen haben, können Sie sich gerne jederzeit an uns wenden. ProSec unterstützt Sie gerne mit Penetration Testing und IT-Security-Consulting, damit die nächste große Zero-Day-Schwachstelle Ihr Unternehmen nicht existentiell bedrohen kann.
