Blog

7 Learnings aus dem Exchange Zero-Day Exploit

/ Kategorie: Detect & Response

Am 3. März 2021 veröffentlichte Microsoft vier Zero-Day Sicherheitslücken in lokal installierten Versionen von Microsoft Exchange. Durch die weite Verbreitung von Microsoft Exchange waren aussergewöhnlich viele Unternehmen betroffen und viele überstanden diese hochriskante Situation nur mit viel Glück. Aber: «Das Glück ist ein Vogerl» sagt der Volksmund. Für künftige Zero-Day-Exploits sollten Unternehmen sich daher besser gut vorbereiten und weniger auf das Glück hoffen.

7 Learnings aus dem Exchange-Zero-Day-Exploit

Mit der Veröffentlichung der Zero-Day Vulnerability durch Microsoft kam es zu einem aussergewöhnlichen Wettrennen zwischen Microsoft und den hunderttausenden Betreibern von Exchange Servern einerseits und einer Vielzahl von Adversary Groups andererseits, welche versuchten die Schwachstellen auszunutzen. Dank dem raschen Eingreifen blieben alle bestehenden Cyber Defense Kunden bei diesen Angriffen verschont. Dennoch waren die ISPIN CSIRT Services über Wochen bei Unternehmen im Einsatz, deren Netzwerke bereits infiltriert waren. Gemäss einer Analyse von Cyber Security News waren Ende März weltweit immer noch über 60'000 Exchange Server nicht aktualisiert, davon etwas mehr als 1'300 in der Schweiz. Es gibt auch Hinweise darauf, dass viele Organisationen, welche die Systeme aktualisiert haben, dennoch kompromittiert wurden.

Was ist eine Zero-Day Exploit?

Eine Zero-Day Exploit ist die Ausnutzung einer Schwachstelle, bevor der Hersteller ein entsprechendes Update dafür bereitstellen kann, bzw. bevor die Schwachstelle dem Hersteller selbst bekannt ist.
 

Zero-Day Attacken: Häufige und gefährliche Angriffsform

Was in diesem Fall sicher aussergewöhnlich war, ist der Umstand, dass eine solche Sicherheitslücke so schnell ausgenutzt wurde. Tatsächlich gibt es Hinweise, dass Microsoft bereits im Januar dieses Jahres Kenntnis von den Schwachstellen hatte. Es ist daher nicht ausgeschlossen, dass die entsprechenden Informationen in falsche Hände geraten sind. Was auch immer die Umstände in diesem Fall waren, Zero-Days gehören generell eher zu den häufigeren Risiken, auch wenn sie nicht immer so spektakulär verlaufen. Gemäss der NIST (National Vulnerability Database) sind rund 40 % der entdeckten Schwachstellen dieser Kategorie zuzuordnen. Zwei Aspekte machen sie so gefährlich:

  • Ausser einer sehr raschen Reaktion auf entsprechende Warnungen der Hersteller kann nichts dagegen unternommen werden.
  • Zero-Days werden heute zunehmend rascher ausgenutzt.

Trotzdem ist es mit den nachfolgenden Vorkehrungen möglich, die Auswirkungen von Zero-Day Attacken (und gleichzeitig auch von vielen anderen Risiken) deutlich zu minimieren.

Schwachstellen erkennen

Bevor man eine Schwachstelle beheben kann, muss man sie zunächst einmal kennen. Schwachstellen können nicht nur in der Software durch den Hersteller entstehen, sondern auch durch Fehlkonfigurationen. Gut ist: Diese Schwachstellen lassen sich durch einen regelmässigen Schwachstellen-Scan relativ einfach erkennen. Hierbei kann es durchaus Sinn machen, diejenigen Systeme zu priorisieren, welche entsprechend exponiert sind - sprich alles, was öffentlich erreichbar ist, wie Webserver, Mail- und Internet-Gateways, DNS Server u.a.

Kein direkter Internetzugang für Server und Applikationen

Um eine Schwachstelle ausnutzen zu können, muss sie in erster Linie für einen Angreifer direkt erreichbar sein. Das ist in der Regel dann der Fall, wenn das entsprechende System direkt aus dem Internet erreichbar ist. Dieses Exposure kann über geeignete Reverse Proxies oder Web Application Firewalls mit entsprechenden Intrusion Prevention Funktionen (normale L3/L4 Firewalls bieten hier keinen Schutz) deutlich reduziert werden. Wichtig ist, dass diese Systeme laufend mit den aktuellsten Patterns aktualisiert werden. Dann können sie im Falle von Zero-Day Schwachstellen dabei helfen, deren Ausnutzung zu verhindern, selbst wenn diese auf dem eigentlichen Zielsystem vorhanden sind. Es ist wohl unnötig zu erwähnen, dass auch Web Application Firewalls und Reverse Proxies Schwachstellen aufweisen können und diese deshalb ebenfalls gut im Blick behalten werden sollten.

Netzwerke segmentieren

Eine Malware, die über eine Schwachstelle auf ein System gelangt ist, versucht in der Regel, auch andere Systeme zu erreichen. Diesen Vorgang, Lateral Movement genannt, konnte das ISPIN CSIRT Team auch im Zusammenhang mit den Exchange Zero-Day Attacken regelmässig beobachten. Besonders interessant dabei sind Systeme, bei denen erweiterte Rechte im Spiel sind, in Windows Netzwerken zum Beispiel der Domain Controller. Auf diese Weise kann ein Angreifer sehr rasch die Kontrolle über ein gesamtes Netzwerk übernehmen. Eine Ransomware in einem solchen Netzwerk bedeutet in der Regel den Totalverlust. Diese Gefahr kann durch eine Layer 3 Netzwerk Segmentierung minimiert werden. So können besonders sensitive Systeme/Systemgruppen voneinander getrennt werden. Im schlimmsten Fall ist mit dem Verlust eines solchen Segments zu rechnen.

Angriffsfläche von Betriebssystemen und Applikationen reduzieren

Es ist wichtig zu verstehen, dass kein Betriebssystem von Haus aus einfach sicher ist. In der Regel muss es entsprechend seiner Bestimmung und nach entsprechenden Empfehlungen des Herstellers angepasst werden. Dieser Vorgang wird auch als System Hardening bezeichnet. Auch Microsoft veröffentlicht für praktisch alle seine Server- und Client-Produkte Hardening-Guides. Dabei wird das Ziel verfolgt, die natürliche Angriffsfläche eines Systems weitestgehend zu reduzieren, ohne seine Funktion einzuschränken. Solche Systeme sind wesentlich robuster gegen eine Vielzahl von Angriffen.

Admin- und Benutzeraccounts schützen

Der einfachste Weg, eine verschlossene Tür zu öffnen, ist es, in den Besitz des Schlüssels zu kommen. In der digitalen Welt stellen Benutzernamen und Passwörter diesen Schlüssel dar. Viele Cyberattacken haben zunächst einmal das Ziel, an diese Informationen zu kommen. Schwache Passwörter, ein sorgloser Umgang mit Benutzerkonten und Berechtigungen bilden eine willkommene Angriffsfläche für Angreifer. Durch die Verwendung von Multi-Factor Authentication (MFA) wird diese Angriffsfläche deutlich entschärft. Der Aufwand für diese Massnahme ist verhältnismässig gering. Zudem werden die Aufwände im Zusammenhang mit einem umfassenderen Identity Access Management durch die Vereinfachung bei der Verwaltung von Benutzeraccounts und Berechtigungen mehr als wett gemacht. Nicht zuletzt wird die Massnahme in Kombination mit Single-Sign-On (SSO) sicherer und einfacher.

Umgang mit Legacy-Systemen

In so manchen Organisationen trifft man veraltete Betriebssysteme an. Die Gründe dafür mögen vielfältig sein. Tatsache ist aber, dass auch ein grosser Teil der Malware, wie auch die meisten der derzeit aktiven Ransomware Familien, solche veralteten Betriebssysteme mögen, insbesondere Microsoft Windows. Es ist also ratsam, dass man seine Betriebssystemflotte auf aktuellem Stand hält. In Fällen, wo das nicht möglich ist, sollte man sich der Gefahr zumindest bewusst sein und ihr durch verstärkte Überwachungsmassnahmen Rechnung tragen. Auf keinen Fall sollten veraltete Betriebssysteme im gleichen Netzwerksegment stehen oder über erweiterte Rechte jeglicher Art verfügen.

Backups absichern

Die Bedeutung von Backups wird immer noch unterschätzt. Sie bilden mittlerweile in Fällen von Cyber Attacken die letzte Option, wenn Schlüsselsysteme oder gar ein ganzes Netzwerk kompromittiert wurde. Dabei ist unbedingt darauf zu achten, dass die Backup-Systeme selbst ein Ziel darstellen können. Viele Ransomware-Arten suchen gezielt nach dem Backup-Server und versuchen, die Datensicherungen zu zerstören oder zu verschlüsseln, um den betroffenen Unternehmen diese Möglichkeit zu nehmen. Deshalb sollte das jeweils aktuelle Backup auf jeden Fall offline und im Idealfall an einem anderen Standort aufbewahrt werden.

So kann ISPIN bei der Planung und beim Betrieb von Cyber-resilienten Lösungen helfen

Viele dieser Massnahmen benötigen in erster Linie vorausschauendes Handeln. Andere sind mit dem Einsatz von Technologie verbunden. ISPIN hilft bei der Planung von resilienten IT- und Applikationsarchitekturen und betreibt heute im Rahmen der Cyber Care Services für eine Vielzahl von Kunden aus verschiedenen Industrien sowohl Gateway- als auch Identity Access Management Lösungen, welche sich nicht erst bei der jüngsten Microsoft Exchange Zero-Day Exploits bewährt haben.

Zusammen. Sicher.

Zero-Day Exploits sind häufig und sie sind gefährlich. Sich zurückzulehnen und abzuwarten ist die falsche Strategie. Fragen Sie unsere erfahrenen Experten, wie Sie Ihr Unternehmen besser vor dieser Gefahr schützen können.

Kontaktieren Sie uns via marketing[at]ispin.ch oder +41 44 838 3111.

 

Notfall?

ISPIN 7/24 Incident Hotline: 0848 800 017 | cyberdefense[at]ispin.ch

 

Jetzt Whitepaper downloaden

ISPIN Whitepaper Security-Incident-Response

Haben Sie bereits einen Computer Incident Response Plan oder ein CSIR Team? Wissen Sie, wie die einzelnen Phasen im Detail ausgestaltet sein sollten? Lesen Sie mehr darüber in unserem Whitepaper „Computer Security Incident Response“.
Laden Sie das Whitepaper hier kostenlos herunter. 

» Download