Alarmstufe Rot

Kritische Schwachstellen in Exchange-Servern

12.03.2021 | Am 03. März wirkte alles noch recht harmlos, als Microsoft mit einem außerplanmäßigen Sicherheitsupdate 4 Schwachstellen im Exchange Server 2010 bis 2019 schloss. Nur ein paar Tage später jedoch rief das Bundesamt für Sicherheit in der Informationstechnik (BSI) in dieser Angelegenheit die höchste Bedrohungslage aus: Cyber-Sicherheitswarnung vom 09.03.2021.

Die Lücken, über die ein Remotezugriff auf beliebige Programmcodes mit Administratorrechten stattfinden kann, werden seitdem aktiv ausgenutzt. Bei einem erfolgreichen Angriff könnten Angreifer Zugriff auf E-Mails, Kontaktdaten und Kalendereinträge erhalten. Doch damit nicht genug: Lokale Exchange-Server verfügen oftmals über hohe Berechtigungen im Active Directory, weshalb die Folgen – auch zu späteren Zeitpunkten – nicht abzusehen sind. Deshalb reicht es nicht aus, die zur Verfügung stehenden Updates einzuspielen. Vielmehr muss untersucht werden, ob die Server bereits betroffen sind.

Zehntausende Exchange-Server in Deutschland sind nach Angaben des BSI über das Internet angreifbar und mit hoher Wahrscheinlichkeit bereits mit Schadsoftware infiziert. Die Situation betrifft Unternehmen und Organisationen jeder Größe, u.a. musste die europäische Bankenaufsicht EBA ihr gesamtes Mailsystem abschalten. Auch deutsche Bundesbehörden sind bereits von den Hackerangriffen betroffen, darunter das Umweltbundesamt, das aktuell nur noch telefonisch erreichbar ist.

Seit ein Sicherheitsforscher einen öffentlich verfügbaren Exploit entdeckt hat, ist es nur noch eine Frage der Zeit, bis die Schwachstellen für Erpressungskampagnen ausgenutzt werden. Mittlerweile wurde der Beispiel-Exploit-Code zwar vom Code-Hoster gelöscht, die Gefahr bleibt jedoch bestehen.

Handeln Sie umgehend!

Wir empfehlen allen Betreibern von betroffenen Exchange-Servern, sofort aktiv zu werden: 
  1. Überprüfen Sie den CU-Stand Ihres Systems mithilfe von „HealthChecker.ps1“
  2. Patchen Sie Ihr System: 
  3. Exchange Server-Sicherheitsupdates 
  4. Exchange Server-Sicherheitsupdates für ältere kumulative Updates von Exchange Server 
  5. Nach dem Patchen sollten Sie Ihr System mithilfe von „Test-ProxyLogon.ps1“ überprüfen 
  6. Sollten Sie in den Logs auf etwas Verdächtiges stoßen, nutzten Sie das Tool „Microsoft Safety Scanner“
Wichtig:
  • Aktualisieren Sie den Scanner nach spätestens einer Woche auf die neueste Version.
  • Legen Sie die Safety Scanner Logs nach dem Scan unter %SYSTEMROOT%\debug\msert.log ab
Falls verdächtige Programme nicht entfernt werden konnten oder Sie Unterstützung bei der Umsetzung der Maßnahmen benötigen, stehen Ihnen unsere Experten telefonisch unter tel:+497805918110 oder per E-Mail an support@leitwerk.de zur Verfügung. 
Sie haben Fragen? Kontaktieren Sie uns gerne auch über das Kontaktformular:
Kontakt

Prüfung auf Kompromittierung

Um zu überprüfen, ob ein Exchange Server bereits von einem Angriff betroffen ist, hat GTSC einen Leitfaden sowie ein Tool zum Scannen von IIS-Protokolldateien veröffentlicht. (Dieser ist standardmäßig im Ordner %SystemDrive%\inetpub\logs\LogFiles gespeichert.)
Verwenden Sie zur Überprüfung Ihres Exchange Servers entweder
  • den PowerShell-Befehl: Get-ChildItem -Recurse -Path -Filter „*.log“ | Select-String -Pattern ‚powershell.*autodiscover\.json.*\@.*200‘
  • oder das von GTSC entwickelte Tool.
Auf Grundlage der Exploit-Signatur haben die GTSC-Forscher ein Tool erstellt, das eine kürzere Suchzeit benötigt als PowerShell. Dieses können Sie sich auf GitHub herunterladen.
Außerdem führen die Sicherheitsforscher von GTSC in ihrem Bericht noch einige Indicators of Compromise (IOCs) auf, anhand deren eine Infektion erkennbar ist.