BSI-Warnung
09.04.2021, 10:11 Uhr
Alarmstufe Rot wegen Angriff auf MS Exchange
Im März kamen erste Berichte zu einer sehr bedrohlichen Lücke in Microsoft Exchange in Umlauf. Nun hat auch das BSI die Bedrohungslage als hoch beziehungsweise mit "Rot" eingestuft.
Es kommt nicht alle Tage vor, dass das Bundesamt für Sicherheit in der Informationstechnik, kurz BSI, die höchste Bedrohungsstufe „Rot“ ausruft. Anfang März war es wieder mal so weit. Die Lage war so bedrohlich, dass 9000 mögliche Opfer eines Cyberangriffs sogar direkt per Brief vom BSI gewarnt wurden. Konkret geht es um vier Schwachstellen in Microsofts Exchange Server (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065). Exchange wird von vielen Unternehmen, Behörden und Bildungseinrichtungen als E-Mail- und Collaboration-Plattform genutzt.
Laut dem Sicherheitsunternehmen G Data geben sich Angreifer, die die Lücken ausnutzen - vereinfacht dargestellt - als Exchange Server aus und könnten auf diese Weise Zugänge kompromittieren, ohne selbst Kenntnis von Passwörtern zu haben. Das wiederum ermögliche ihnen einen direkten Einblick in das Postfach des Nutzers. „Schon diese Sicherheitslücke allein wäre hochgradig kritisch. Die übrigen Lücken werden unter anderem dafür genutzt, sogenannte Webshells auf dem Server einzurichten. Über diese können Angreifer dann jederzeit von aussen auf Informationen zugreifen“, heisst es in einem G-Data-Papier.
Steven Adair, Chef der IT-Sicherheitsfirma Volexity, berichtet, dass die Angreifer sich anfangs im Januar wenige Ziele ausgesucht hätten, im Februar aber dazu übergegangen seien, automatisiert in grossem Stil Zehntausende E-Mail-Server täglich mit Hintertüren zu versehen. Als verantwortlich für den Massen-Hack hat Microsoft die chinesische Gruppe Hafnium identifiziert.
Wer ist betroffen?
Das BSI hat über die Server-Suchmaschine Shodan rund 57.000 Server in Deutschland ausfindig gemacht, auf denen die Schwachstellen unter Umständen ausgenutzt werden können. Die Sicherheitsfirma Fireeye erklärt die hohe Zahl unter anderem damit, dass viele Firmen hierzulande ihre E-Mails und darin getauschte Daten aus diversen Gründen lokal in ihrem eigenen Rechenzentrum betreiben wollten, statt in die Cloud und zu Microsoft 365 zu migrieren. Für einige Branchen wie die Rüstungs- und Finanzindustrie kommt die Cloud etwa aus Compliance-Gründen nur sehr eingeschränkt infrage.
„Kompromittierbar ist grundsätzlich jeder nicht abgesicherte Exchange Server, der direkt aus dem Internet erreichbar gemacht wird, um Mitarbeitern via Outlook Web Access (OWA) oder Exchange ActiveSync den mobilen Zugriff auf E-Mails, Kalender und Kontakte zu ermöglichen“, erklärt Hermann Granzer, CTO bei Virtual Solution. Laut Christopher Budd, Senior Global Threat Communications Manager bei Avast, sind KMUs und kleine Organisationen besonders gefährdet. Sie vor allem müssten fürchten, dass sich daraus Ransomware-Angriffe entwickeln.
“„Mail-Server sind nach wie vor das Herzstück vieler Unternehmen. Hier liegen extrem viele unternehmenskritische Daten.“„
Anders Tim Berghoff, G Data Security Evangelist. Er meint: „APT-Gruppen wie Hafnium setzen in der Regel nicht auf kurzfristige und sichtbare Angriffe wie Ransomware - sondern versuchen im Lauf der Zeit möglichst viele vertrauliche Daten zu sammeln. Fokus der Aktivitäten dürfte also in der Regel Industriespionage sein und nicht die klassische Verwertungskette organisierter Cybercrime-Gangs.“ Doch auch Berghoff betont die Dimension des Problems: „Auch wenn Unternehmen vermehrt Chat-Plattformen wie MS Teams, Slack oder andere nutzen, sind Mail-Server nach wie vor das Herzstück vieler Unternehmen. Hier liegen extrem viele unternehmenskritische Daten.“
Was tun?
Neben den kurzfristigen Massnahmen wie Einspielen von Patches und Feststellen einer Kompromittierung ihrer Server gibt es auch mittel- und langfristige Reaktionen auf den Exchange-Angriff. „Wie der Massen-Hack zeigt, sollten Firmen neben der üblichen ersten Verteidigung aus Sicherheits-Software und Patch-Management eine letzte Verteidigungslinie implementieren und pflegen. Denn der Massen-Hack der chinesischen Gruppe Hafnium nutzte wieder einmal Software-Fehler aus, die bis dahin unbekannt waren“, erklärt etwa Marc Ahlgrim, Spezialist für Compliance und Risk Mitigation bei Veritas Technologies. „Solche Zero-Day-Vulnerabilities öffnen Hintertüren zu kritischen Produktionssystemen, die an allen Abwehrmassnahmen vorbeiführen. Ein funktionierendes und integres Backup der kritischen Systeme schafft diese letzte Verteidigungslinie, von der aus Firmen ihre Geschäftsdaten zuverlässig wiederherstellen können nach einem leider erfolgreichen Angriff.“
Im Fall von Exchange bietet es sich laut Ahlgrim zum Beispiel an, ein Archivsystem an den Mail-Server zu koppeln. Das schütze zwar nicht zwingend vor dem Angriff, aber das relativ aktuelle Abbild hätte für Unternehmen den klaren Vorteil, dass die wichtigen unternehmensrelevanten Daten in einem zweiten System sicher und unveränderbar abgelegt seien. Mit diesem Wissen liessen sich notwendige Massnahmen zur Reaktion auf einen Angriff schneller, kostengünstiger und - falls erforderlich - auch härter durchführen, so Marc Ahlgrim.
“„Ein direkter Zugriff aus dem Internet auf Exchange Server ist nicht länger nötig.“„
Hermann Granzer wiederum, CTO bei dem auf sichere mobile Anwendungen spezialisierten Virtual Solution, betont, dass es heute durchaus Lösungen gebe, die ohne den direkten Zugriff auf möglicherweise verwundbare Exchange Server ein komfortables und sicheres mobiles Arbeiten ermöglichten, etwa das SecurePIM Gateway seines Unternehmens. „Es überprüft die Identität des Nutzers und erlaubt lediglich verifizierten Nutzern einen Zugriff über die abgesicherte SecurePIM-App auf den Exchange Server. Gleichzeitig können auch viele andere Anwendungen im Unternehmensnetz damit abgesichert werden. Ein direkter Zugriff aus dem Internet auf Exchange Server ist dafür nicht länger nötig“, so Granzer.
Weitere Infos
- www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen
Info-Seite des BSI
- www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers
Info-Seite von Microsoft
- https://blog.avast.com/smbs-immediate-action-microsoft-exchange-vulnerabilities
Blogbeitrag von Avast (speziell für KMUs)
- www.fireeye.com/blog/threat-research/2021/03
Analyse von Mandiant/Fireeye