Der Hafnium Exchange-Server Hack - Was nun zu tun ist
Was sich für die einen wie ein spannender Cyberthriller liest, ist für IT-Administratoren der Beginn von 24/7-Einsätzen. Durch mehrere Sicherheitslücken in der eMail- und Groupware-Lösung Microsoft Exchange kam es am Mittwoch, den 3. März zu einem gravierenden Sicherheitsvorfall.
Laut aktuellsten Zahlen des BSI vom 10. März sind in Deutschland ungefähr 25.000 Exchange-Server immer noch nicht mit den aktuellsten Updates versorgt. In diesem Fall ist es wahrscheinlich bereits zu spät und die Server wurden von Angreifern erfolgreich übernommen. Doch selbst wer die Updates zeitnah installiert hat, muss sein Netzwerk einer tiefergehenden Analyse unterziehen! Die Updates schließen zwar die Sicherheitslücken, beseitigen aber keine bis dahin bereits erfolgten Systemänderungen, Kompromittierungen, Backdoors, etc. Und da verschiedene Hackergruppierungen die Sicherheitslücken bereits seit Wochen aktiv ausgenutzt haben und man kurz vor Veröffentlichung der Updates massive Scans nach Exchange-Servern im Internet feststellen konnte, ist ein Befall Ihrer Exchange-Server sehr wahrscheinlich!
Aufgrund der Menge an bisher nicht aktualisierten Exchange-Installationen ist dieser Blog-Artikel auch für Unternehmen aus Ihrem Umfeld relevant. Leiten Sie ihn also gerne weiter!
Die Zeitleiste eines Desasters
Der zeitliche Ablauf lässt einen im Nachhinein erstaunt auf die Vorfälle blicken, wären Sie doch vermeidbar gewesen.
Bereits am 10. Dezember 2020 stießen Sicherheitsforscher des taiwanesischen Unternehmens Devcore auf die erste Sicherheitslücke „ProxyLogon“ (CVE-2021-26855). Hierbei können sich Angreifer als Administrator am Exchange-Server anmelden, ohne sich hierfür authentifizieren zu müssen. Die Forscher fanden dann eine weitere Sicherheitslücke, mit der sie eingeschleusten Code auf dem Exchange-Server ausführen konnten (Remote Code Execution). Am 5. Januar informierte man daraufhin das Microsoft Security Resource Center.
Da Microsoft zwar den Eingang des Hinweises bestätigte, bis Februar aber immer noch keine Sicherheitsupdates bereit gestellt hatte, fragte Devcore erneut beim Hersteller nach. Die Updates wurden dann für den monatlichen Patchday am 9. März in Aussicht gestellt. Doch dann veröffentlichte Microsoft die Updates außerplanmäßig bereits am 3. März.
Bereits seit Anfang Januar konnten IT-Experten aktive Angriffe auf diese Sicherheitslücken beobachten, die Warnungen hierzu mehrten sich. Waren es bis dahin nur gezielte Angriffe, so begannen am 26. / 27. Februar Massenscans und die verwundbaren Exchange-Server wurden automatisiert mit einer Webshell infiziert. Hierüber erreichen die Angreifer einen permanenten Zugriff in das Netzwerk und können damit die Infrastruktur weiter ausspähen („Post-Exploitation-Phase“). Diese Webshell wird jedoch durch die Update-Installation nicht entfernt!
Stunden nach Veröffentlichung und damit Offenlegung der Schwachstellen wurden alle über das Internet erreichbaren und ungepatchten Exchange-Server angegriffen und infiziert. Alleine in Deutschland sind es Zehntausende.
Was ist nun konkret zu tun?
Updates installieren
Installieren Sie umgehend die verfügbaren Updates, falls noch nicht geschehen. Seit Dienstag, den 9. März gibt es auch Updates, die nicht mehr zwingend das aktuelle CU des Exchange-Servers voraussetzen.
Updates verifizieren
Verifizieren Sie nach dem Updatevorgang unbedingt, ob die Schwachstellen auch behoben wurden. Verlassen Sie sich nicht auf den Abschluss der Updateinstallation. Teilweise wurden die Sicherheitslücken nicht beseitigt, wenn die Setups nicht explizit als Administrator ausgeführt wurden.
Integrität prüfen
Verifizieren Sie anhand der Hashes die Integrität der Exchange-Installation.
Kompromittierung prüfen
Prüfen Sie, ob auf Ihrem Exchange-Server eine Webshell implementiert wurde.
Forensisches Abbild erstellen
Erstellen Sie im Falle einer Kompromittierung ein forensisches Abbild Ihres Servers. Sichern Sie relevante Log-Dateien, um auch später noch Spuren analysieren zu können.
Kritisch beobachten
Prüfen Sie Ihre Infrastruktur auf Anomalien, wie zum Beispiel neu angelegte Benutzer, Aufgaben, Dienste etc.