Jetzt handeln: Zero Day Sicherheitslücken bei Microsoft Exchange schliessen

/ Kategorie: Detect & Response, Threat Intelligence
Erstellt von Antonio Martinez

Nutzen Sie Microsoft Exchange? Dann bedeuten vier aktuelle Zero Day Sicherheitslücken in lokal installierten Versionen von Microsoft Exchange für Ihr Unternehmen ein erhöhtes Risiko. Microsoft hat dazu entsprechende Sicherheitsupdates veröffentlicht. Wir empfehlen Ihnen Ihre Systeme sofort zu aktualisieren.

Zero Day Attacke - Microsoft Exchange

Allein in den USA sollen mindestens 30.000 Regierungseinrichtungen und Firmen über die vier Zero Days gehackt worden sein. Prinzipiell müssen alle Organisationen, die zwischen dem 26. Februar und dem 3. März einen über das Internet erreichbaren Exchange-Server mit der Outlook Web App (OWA) betrieben haben, davon ausgehen, dass ihr Server kompromittiert wurde, warnte der ehemalige Direktor der Cybersecurity and Infrastructure Agency (CISA) Chris Krebs. Denn die Hacker-Attacken wurden nach der Veröffentlichung der Patches durch Microsoft verstärkt. Die Sicherheitslücken ermöglichen Angreifern, die Authentisierung ohne Nutzerdaten, das Schreiben und Ausführen von beliebigem Code sowie die Ausleitung von Unternehmsdaten. Bei Attacken könnten sogar ganze Offline-Adressbücher und Mailboxen exfiltriert werden. Wir raten Ihnen daher, die bereitgestellten Updates unverzüglich zu installieren.

Wer ist HAFNIUM?

Eine Gruppierung namens HAFNIUM nutzt die Lücken derzeit aktiv aus. Laut unseren Erkenntnissen operiert die Gruppe aus dem asiatischen Raum und im Auftrag einer Regierung. Gruppen wie HAFNIUM fokussieren darauf, über längere Zeit zum Zweck der Industriespionage möglichst viele vertrauliche Daten zu sammeln. Obwohl HAFNIUM seinen Sitz höchstwahrscheinlich in China hat, führt es seine Operationen hauptsächlich von gemieteten virtuellen privaten Servern (VPS) in den Vereinigten Staaten aus. In jüngster Zeit hat HAFNIUM eine Reihe von Angriffen mit bisher unbekannten Exploits durchgeführt, die auf lokale Exchange Server-Software abzielen. Bislang ist HAFNIUM der erste Akteur, der diese Exploits einsetzt, wobei die Angriffe drei Schritte umfassen. Erstens verschafft die Gruppierung sich Zugang zu einem Exchange Server, entweder mit gestohlenen Passwörtern oder indem sie die Schwachstellen nutzt, um sich als jemand zu tarnen, der eigentlich Zugang haben sollte. Zweitens würde sie eine so genannte Web-Shell erstellen, um den kompromittierten Server aus der Ferne zu steuern. Drittens würden die Angreifer diesen Fernzugriff - ausgeführt von den privaten Servern in den USA - nutzen, um Daten aus dem Netzwerk eines Unternehmens zu stehlen.

Wie diese Schwachstellen für Angriffe genutzt werden können

Diese Schwachstellen werden als Teil einer Angriffskette verwendet. Der erste Angriff erfordert die Fähigkeit, eine nicht vertrauenswürdige Verbindung zum Exchange-Server-Port 443 herzustellen. Dagegen kann man sich schützen, indem man nicht vertrauenswürdige Verbindungen einschränkt oder ein VPN einrichtet, um den Exchange-Server vom externen Zugriff zu trennen. Die Verwendung dieser Abschwächung schützt nur vor dem ersten Teil des Angriffs. Andere Teile der Kette können ausgelöst werden, wenn ein Angreifer bereits Zugriff hat oder einen Administrator überzeugen kann, eine schädliche Datei auszuführen.

So stellen Sie fest ob Sie betroffen sind

Anhand bestimmter Anzeichen (Indicators of Compromise) können Sie erkennen, ob sich bereits jemand mit Hilfe der Sicherheitslücken Zugriff auf Unternehmensdaten verschafft hat. Dazu gehören bestimmte Aktivitäten, die sich in Logdateien wiederfinden. Oder, wenn die Ausleitung von Daten geplant ist, sammeln die Angreifer sie zunächst an einer Stelle und senden sie dann von dort aus nach aussen. HAFNIUM etwa hat einen Online-Filesharing-Dienst namens „Mega“ dafür verwendet. Verdächtig sind zudem Prozess-Dumps, die in bestimmten Verzeichnissen wie c:\windows\temp abgelegt sind. Gehen Sie bei der Suche gezielt vor:

  1. Überprüfen Sie die Patch-Levels Ihrer Exchange Server
    Das Microsoft Exchange Server-Team hat einen Blog-Beitrag zu diesen neuen Sicherheitsupdates veröffentlicht, der ein Skript bereitstellt, mit dem Sie eine schnelle Bestandsaufnahme des Patch-Level-Status von Exchange-Servern vor Ort durchführen und einige grundlegende Fragen zur Installation dieser Patches beantworten können.
     
  2. Durchsuchen Sie Exchange-Protokolldateien nach Indikatoren für eine Kompromittierung
    https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/
    https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/#scan-log
     
  3. Führen Sie den Check für HAFNIUM IOCs aus
    Das Exchange Server-Team hat ein Skript erstellt, um einen Check für HAFNIUM IOCs durchzuführen, um Performance- und Speicherprobleme zu beheben.
    Dieses Skript ist hier verfügbar: https://github.com/microsoft/CSS-Exchange/tree/main/Security

Das sollten Sie jetzt unternehmen

Falls Sie Hinweise darauf haben, dass die Schwachstelle bei Ihnen bereits ausgenutzt wurde wenden Sie sich an unsere Incident Response Hotline 0848 800 017.
Aufgrund des kritischen Charakters der Sicherheitslücken empfehlen wir Ihnen, die von Microsoft zur Verfügung gestellten Updates sofort auf Ihren Systemen zu installieren. Nur damit können Sie Ihr Unternehmen vor diesen Angriffen schützen und zukünftigen Missbrauch im gesamten Ökosystem verhindern. Die Schwachstellen betreffen Microsoft Exchange Server. Exchange Online ist nicht betroffen. Die betroffenen Versionen sind:

  •     Microsoft Exchange Server 2013 
  •     Microsoft Exchange Server 2016 
  •     Microsoft Exchange Server 2019

Microsoft Exchange Server 2010 wird zu Defense in Depth-Zwecken aktualisiert.

Betroffene Schwachstellen

Nachfolgend finden Sie eine Auflistung und Links zu den bisher bekannten Schwachstellen

Wir empfehlen Ihnen, die Updates vorrangig auf Exchange-Servern zu installieren, die vom Internet her erreichbar sind, anschliessend sollten auch alle übrigen betroffenen Systeme aktualisiert werden.

Zusammen. Sicher.

Zögern Sie nicht. Nutzen Sie die Updates so schnell wie möglich und reduzieren Sie das Risiko für Ihr Unternehmen. Kontaktieren Sie uns gerne, wenn Sie Fragen zu den Schwachstellen haben, Unterstützung bei den Updates brauchen oder Know-how zu Zero Day Attacken und wie man damit ideal umgeht, benötigen. ISPIN steht Ihnen gerne 7x24 mit Expertenwissen und umfangreichen Cyber Defense Services zur Verfügung.

Kontaktieren Sie uns via marketing[at]ispin.ch oder +41 44 838 3111.

 

Notfall?

ISPIN 7/24 Incident Hotline: 0848 800 017 | cyberdefense[at]ispin.ch

 

Whitepaper

Lesen Sie zum Thema Incident Response auch unser Whitepaper "Sicherheit in einer Welt der Unsicherheit".
» Download

Haben Sie Fragen zu unseren News, Events oder Blogartikeln? Nehmen Sie mit mir Kontakt auf.

Reiner Höfinger

Marketing & Communications

Kontakt

ContactKontaktGo to top