Zeitleiste der Cyberangriffe auf Microsoft Exchange Server rekonstruiert

Illustration: Absmeier

Unit 42, das Bedrohungsforschungsteam von Palo Alto Networks, hat neue Erkenntnisse zu den jüngsten Cyberangriffen auf Microsoft Exchange Server gewonnen. Ein Blick zurück: Am 2. März wurden Sicherheitsexperten auf vier kritische Zero-Day-Schwachstellen in Microsoft Exchange Server aufmerksam (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 und CVE-2021-27065). Gleichzeitig mit dem Bekanntwerden dieser Schwachstellen veröffentlichte Microsoft Sicherheitsupdates und technische Anleitungen, die die Wichtigkeit des sofortigen Patchens betonten, und wies auf die aktive und laufende Ausnutzung durch eine Advanced Persistent Threat (APT) namens HAFNIUM hin. Seit den ersten Angriffen haben Unit 42 und eine Reihe anderer Threat-Intelligence-Teams festgestellt, dass mehrere Bedrohungsgruppen diese Zero-Day-Schwachstellen nun in freier Wildbahn ausnutzen.

Anzeige

 

Anzeige

Sowohl die Schwachstellen selbst als auch der Zugriff, der durch deren Ausnutzung erreicht werden kann, sind erheblich. Es ist daher nicht überraschend, dass mehrere Angreifer versuchten und weiterhin versuchen, anfällige Systeme zu kompromittieren, bevor diese von Netzwerkadministratoren gepatcht werden. Diese Angriffe geschahen in einem noch nie dagewesenen Ausmaß. Mit Stand vom 8. März schätzte Unit 42 – auf Basis der von der Palo Alto Networks Expanse-Plattform gesammelten Telemetriedaten – die Zahl der weltweit noch ungepatchten Exchange Server auf über 125.000.

 

Die Anzahl der nicht gepatchten Exchange-Server ging diese Woche stark zurück, als Microsoft-Kunden laut neuen Daten, die von der Palo-Alto-Networks-Expanse-Plattform gesammelt wurden, schnell Sicherheitsupdates installierten. Das schnelle Patchen folgt Warnungen, dass Hacker vier Zero-Day-Schwachstellen in der weit verbreiteten E-Mail-Software ausnutzen.

Anzeige

 

Die Anzahl der anfälligen Server, auf denen alte Versionen von Exchange ausgeführt werden, auf denen die kürzlich veröffentlichten Sicherheitspatches nicht direkt angewendet werden können, ist laut Expanse-Internet-Scans vom 8. und 11. März um über 30 % von geschätzten 125.000 auf 80.000 gesunken.

 

»Ich habe noch nie gesehen, dass die Sicherheitspatch-Raten für ein System so hoch sind, geschweige denn für ein System, das so weit verbreitet ist wie Microsoft Exchange«, sagte Matt Kraning, Chief Technology Officer von Cortex bei Palo Alto Networks. »Wir fordern Unternehmen, die alle Versionen von Exchange ausführen, dringend auf, davon auszugehen, dass sie kompromittiert wurden, bevor sie ihre Systeme gepatcht haben, da wir wissen, dass Angreifer diese Zero-Day-Sicherheitslücken mindestens zwei Monate lang in freier Wildbahn ausnutzten, bevor Microsoft die Patches am 2. März veröffentlichte. ”

 

Palo Alto Networks verwendete die Expanse-Plattform, um im Internet exponierte Server zu identifizieren, auf denen alte Versionen von Exchange ausgeführt werden, auf denen der kürzlich veröffentlichte Sicherheitspatch für die Zero-Day-Sicherheitslücken nicht direkt angewendet werden kann.

 

Hier sind die 12 Länder mit der größten Anzahl bestätigter anfälliger Exchange-Server ab dem 11. März:

 

  • USA – 20.000
  • Deutschland – 11.000
  • Großbritannien – 4.900
  • Frankreich – 4.000
  • Italien – 3.700
  • Russland – 2.900
  • Kanada – 2.700
  • Schweiz – 2.500
  • Australien – 2.200
  • China – 2.100
  • Österreich – 1.700
  • Niederlande – 1.600

 

Anhand der rekonstruierten Zeitachse ist nun klar, dass zwischen der ersten bekannten Ausnutzung dieser Schwachstelle am 3. Januar und der Veröffentlichung des Patches durch Microsoft am 2. März mindestens 58 Tage lagen. Das Aufspielen des Patches ist ein notwendiger erster Schritt, aber nicht ausreichend, wenn man bedenkt, wie lange die Schwachstelle in der freien Wildbahn war. Das Aufspielen des Patches beseitigt nicht den Zugang, den Angreifer möglicherweise bereits zu anfälligen Systemen erlangt haben. Unternehmen können sich im Leitfaden von Unit 42 für Abhilfemaßnahmen über die nötigen Schritte informieren, um sicherzustellen, dass sie ihre Exchange Server ordnungsgemäß abgesichert haben.

 

In der zweiten Woche nach Bekanntwerden der Schwachstellen gibt es erste Schätzungen, dass die Zahl der betroffenen Unternehmen in die Zehntausende geht. Dies stellt damit die Auswirkungen des jüngsten SolarStorm-Angriffs auf die Lieferkette in Bezug auf die Zahl der Opfer und die geschätzten Kosten für die Beseitigung der Schwachstellen weltweit in den Schatten. Angesichts der Bedeutung dieses Ereignisses veröffentlichte Unit 42 eine Zeitleiste des Angriffs, die auf den umfangreichen Recherchen zu den derzeit verfügbaren Informationen und der direkten Erfahrung bei der Abwehr solcher Angriffe basiert. Während sich die Situation weiterentwickelt, bittet Unit 42 auch andere Forschungsteams, ihre Erkenntnisse mitzuteilen, damit sich die Cybersicherheitscommunity so schnell wie möglich ein vollständiges Bild mache kann.

 

 

Laufende Untersuchungen zeigen, dass diese Schwachstellen von mehreren Bedrohungsgruppen ausgenutzt werden. Es ist nicht neu, dass hochqualifizierte Angreifer neue Schwachstellen in verschiedenen Produkt-Ökosystemen ausnutzen. Die Art und Weise, wie diese Angriffe durchgeführt werden, um die Authentifizierung zu umgehen und damit unberechtigten Zugriff auf E-Mails zu erhalten und Remote Code Execution (RCE) zu ermöglichen, ist jedoch besonders perfide.

 

Unit 42 geht davon aus, dass die Angriffe, die diese Schwachstellen ausnutzen, sich nicht nur fortsetzen, sondern auch an Umfang zunehmen werden. Dies wird sich wahrscheinlich auch in vielfältigeren Angriffen mit unterschiedlichen Motiven äußern, wie etwa die Infektion und/oder Verteilung von Ransomware. Aufgrund der Tatsache, dass aktive Angriffe verschiedener Bedrohungsgruppen, die diese Schwachstellen ausnutzen, andauern, ist es zwingend erforderlich, die betroffenen Systeme nicht nur zu patchen, sondern auch die Anleitungen zu befolgen, die Unit 42 in einem früheren Remediation Blog beschrieben hat.

 

Alle Details finden Sie hier: https://unit42.paloaltonetworks.com/microsoft-exchange-server-attack-timeline/

 


 

Wer ganz sicher gehen will, muss seinen Exchange Server komplett neu aufsetzen

Illustration: Absmeier

»Die vier von Microsoft in der vorigen Woche bekanntgemachten Schwachstellen im Exchange Server gefährden aktuell zehntausende Infrastrukturen von Behörden und Unternehmen. Das zum BSI gehörende CERT-Bund geht von bis zu 58.000 potenziell verwundbaren Systemen aus, bei denen unklar ist, ob sie die verfügbaren Updates bereits erhalten haben, oder für die gar keine Patches bereitstehen, weil sie veraltete Build-Versionen nutzen. Wo Updates verfügbar sind, muss für alle Organisationen nun die höchste Priorität sein, diese einzuspielen, da die Schwachstellen den Zugriff auf sämtliche Exchange-Daten wie E-Mails, Kontakte und Kalender erlauben und bereits ausgenutzt werden. Das BSI hat inzwischen die höchste Bedrohungsstufe »Rot« ausgerufen und warnt, Organisationen sollten von einer Kompromittierung ihrer Systeme ausgehen – auch mehrere Bundesbehörden sind dem BSI zufolge gefährdet, in vier Fällen seien möglicherweise bereits Systeme kompromittiert worden.

Anzeige

Die Suche nach Hinweisen, dass Daten ausgelesen oder Schadprogramme installiert wurden, dürfte sich indes nicht einfach gestalten. Die Hacker hinter diesen Angriffen verfügen vermutlich über umfangreiche Ressourcen, ihre Aktivitäten sind nur schwer zu entdecken. Behörden und Unternehmen müssen daher ihr gesamtes Security-Arsenal nutzen, um Anomalien, die auf Manipulationen hindeuten, aufzuspüren. Wer ganz sicher gehen will, muss seine Systeme aber komplett neu aufsetzen.

Kompromittierbar ist grundsätzlich jeder nicht abgesicherte Exchange Server, der direkt aus dem Internet erreichbar gemacht wird, um Mitarbeitern via Outlook Web Access (OWA) oder Exchange ActiveSync den mobilen Zugriff auf E-Mails, Kalender und Kontakte zu ermöglichen. Dabei gibt es durchaus Lösungen, die ohne den direkten Zugriff auf möglicherweise verwundbare Exchange Server ein komfortables und sicheres mobiles Arbeiten ermöglichen: Das SecurePIM Gateway von Virtual Solution überprüft die Identität des Nutzers und erlaubt lediglich verifizierten Nutzern einen Zugriff über die abgesicherte SecurePIM-App auf den Exchange Server. Gleichzeitig können auch viele andere Anwendungen im Unternehmensnetz damit abgesichert werden. Ein direkter Zugriff aus dem Internet auf Exchange Server ist dafür nicht länger nötig.«

 

Anzeige

Statement von Dr. Hermann Granzer, CTO bei Virtual Solution

 


 

Schritte zur Behebung der Microsoft-Exchange-Server-Schwachstellen auf

 

Wie Palo Alto Networks in seinem Unit 42 Blog berichtet, wurde die Sicherheitscommunity am 2. März auf vier kritische Zero-Day-Schwachstellen in Microsoft Exchange Server aufmerksam (CVE-2021-26855CVE-2021-26857CVE-2021-26858 und CVE-2021-27065). Diese Schwachstellen ermöglichen es Angreifern, auf Exchange Server zuzugreifen und potenziell langfristigen Zugriff auf die Umgebungen der Opfer zu erlangen.

 

Das Microsoft Threat Intelligence Center (MSTIC) schreibt die anfängliche Kampagne mit hoher Wahrscheinlichkeit HAFNIUM zu, einer Gruppe, die nach Einschätzung von MISTIC staatlich gesponsert wird und von China aus operiert. Mehrere Threat-Intelligence-Teams, einschließlich MSTIC und Unit 42, beobachteten bereits mehrere Bedrohungsakteure, die diese Zero-Day-Schwachstellen jetzt in freier Wildbahn ausnutzen.

 

Die geschätzte Zahl der potenziell gefährdeten Organisationen geht weltweit in die Zehntausende. Sehr wichtig ist, dass diese Schwachstellen mindestens zwei Monate lang aktiv ausgenutzt wurden, bevor die Sicherheits-Patches verfügbar waren. Das bedeutet, dass Exchange Server auch dann noch gefährdet sein könnten, wenn die Patches sofort installiert werden. Basierend auf Telemetriedaten der Palo-Alto-Networks-Expanse-Plattform, gibt es weltweit schätzungsweise noch über 125.000 ungepatchte Exchange Server.

 

Palo Alto Networks empfiehlt Unternehmen, das folgende Playbook zu befolgen, um auf diese potenzielle Bedrohung in ihren Umgebungen zu reagieren.

 

1) Alle Exchange Server lokalisieren und bestimmen, ob sie gepatcht werden müssen.

Exchange Online ist nicht betroffen. Zu den anfälligen Exchange Server-Versionen gehören 2013, 2016 und 2019. Während Exchange 2010 nicht für die gleiche Angriffskette anfällig ist wie Exchange 2013/2016/2019, hat Microsoft für diese Version einen Patch für CVE-2021-26857 veröffentlicht. Microsoft hat kürzlich zusätzliche Hinweise für ältere, nicht unterstützte Versionen von Exchange veröffentlicht.

 

Microsoft hat Informationen zu den Updates für die folgenden spezifischen Versionen von Exchange Server veröffentlicht:

 

Exchange Server 2019 – Update erfordert Cumulative Update (CU) 8 oder CU 7.

Exchange Server 2016 – Update erfordert CU 19 oder CU 18.

Exchange Server 2013 – Update erfordert CU 23.

Exchange Server 2010 – Update erfordert SP 3 oder eine beliebige SP 3 RU, dies ist ein Defense in Depth-Update.

 

2) Patchen und Sichern aller Exchange Server.

Unternehmen sollten die Out-of-Band-Sicherheitsupdates für ihre Version von Exchange Server installieren. Wenn sie einen Exchange Server nicht sofort aktualisieren und/oder patchen können, gibt es einige Abschwächungen und Umgehungen, die die Chancen eines Angreifers, einen Exchange Server auszunutzen, verringern können; diese Abschwächungen sollten nur vorübergehend sein, bis das Patchen abgeschlossen werden kann. Palo Alto Networks Next-Generation Firewalls (NGFWs), die auf Threat Prevention Content Pack 8380 oder höher aktualisiert wurden, schützen vor diesen Schwachstellen, wenn die SSL-Entschlüsselung für den eingehenden Verkehr zum Exchange Server aktiviert ist. Cortex XDR, das auf dem Exchange Server ausgeführt wird, erkennt und verhindert Webshell-Aktivitäten, die häufig bei diesen Angriffen verwendet werden.

 

3) Feststellen, ob ein Exchange Server bereits kompromittiert wurde.

Diese Schwachstellen sind bereits seit über einem Monat bekannt und werden aktiv ausgenutzt, wobei die ersten Hinweise auf eine Ausnutzung auf den 3. Januar zurückgehen. Jedes Unternehmen, das die anfällige Software einsetzt, muss prüfen, ob sein Server gefährdet ist. Das Patchen des Systems wird keine Malware entfernen, die bereits auf dem System installiert ist. Bis zum Beweis des Gegenteils sollte man davon ausgehen, dass Exchange Server, die Outlook Web Access oder Exchange Web Services dem Internet ausgesetzt haben, kompromittiert sind.

 

4) Einschalten eines Incident-Response-Teams bei Verdacht einer Kompromittierung.

Wenn Unternehmen zu irgendeinem Zeitpunkt glauben, dass ihr Exchange Server kompromittiert wurde, sollten sie dennoch Maßnahmen ergreifen, um ihn gegen die oben beschriebenen Schwachstellen zu schützen. Dies wird verhindern, dass weitere Angreifer das System kompromittieren. Die Installation der Out-of-Band-Sicherheitsupdates für die jeweilige Version von Exchange Server ist sehr wichtig, aber dadurch wird keine bereits auf den Systemen installierte Malware entfernt und keine im Netzwerk vorhandenen Bedrohungsakteure werden vertrieben.

Unternehmen, die glauben, dass sie kompromittiert wurden, sollten ihren Incident-Response-Plan in Kraft setzen. Wenn Unternehmen solche Dienste benötigen, steht ihnen das Palo Alto Networks Crypsis Incident Response Team zur Verfügung: crypsis-investigations@paloaltonetworks.com.

 

 


 

434 Artikel zu „Schwachstelle Microsoft“

Trägheit bei IT-Security macht Microsoft-Office-Schwachstelle zum Einfallstor für Cyberangriffe

Jörg von der Heydt, Channel Director DACH bei Skybox Security, kommentiert die Microsoft-Office-Schwachstelle CVE-2017-8570 und mögliche Lösungsansätze. Spätestens mit der Einführung der DSGVO hat in Europa eine gewisse Sensibilisierung gegenüber Datenschutz und Sicherheitsrisiken eingesetzt – ob privat oder im beruflichen Umfeld. Dennoch zeigen europäische Arbeitnehmer weltweit die geringste Disziplin, wenn es um die Cybersicherheit in…