Microsoft Exchange wird aktuell in allen verfügbaren On-Premise Versionen von Sicherheitslücken geplagt, welche auch aktiv ausgenutzt werden. Die Bedrohungslage ist ernst! Im Folgenden Artikel beschreibe ich kurz die Ausgangslage und bekannten Fakten und wie wir bei SmartIT in den vergangenen Tagen mit der Situation umgegangen sind.
Was ist passiert?
In der Nacht zum 3. März ist gleichzeitig mit dem Erscheinen von Patch-Software bekanntgeworden, dass das Mailserver Produkt Microsoft Exchange in allen verfügbaren On-Premise Versionen gleich von mehreren Sicherheitslücken betroffen ist, welche bereits aktiv von mindestens einer Angreifergruppe ausgenutzt werden. Man spricht von einem sogenannten 0-Day-Exploit. Die bekanntgewordenen Lücken beziehen sich auf den Web-Zugang zum Exchange-Server, über den die Smartphone-Synchronisierung, der Zugriff auf Outlook-Web-Access und auf mobilen Outlook-Clients bereitgestellt wird. Ein Angreifer kann sich durch die Schwachstellen Zugang zu den Systemen verschaffen und sogenannte «Web Shells» patzieren. Dabei handelt es sich um eine virtuelle Kommandozeile, mit deren Hilfe ein Angreifer auf das System zugreifen kann. Bei einer erfolgreichen Attacke ist es möglich, Daten aus dem E-Mail-System abzugreifen oder Server aus der Ferne zu steuern. Da Exchange Server üblicherweise über erhöhte Rechte im Active Directory verfügen, ist es denkbar, dass weitergehende Angriffe mit den Rechten eines übernommenen Exchange-Servers potentiell mit geringem Aufwand auch die gesamte Domäne kompromittieren können.
Diverse offizielle Stellen wie das Schweizer GovCERT oder das Deutsche Bundesamt für Sicherheit in der Informationstechnologie BSI haben mindestens eine der Schwachstellen als hoch kritisch eingestuft und zu sofortigem Handeln geraten.
Wie hat der Hersteller Microsoft darauf reagiert?
In der Nacht auf den 3. März hat Microsoft Notfall-Patches für die vier bekanntgewordenen Sicherheitslücken veröffentlicht mit Empfehlung zur sofortigen Installation. Weiter wurden über die folgenden Tage mehrere Tools zur Verfügung gestellt, welche in der Identifikation von möglichen Angriffen oder Angriffsversuchen vor der Einspielung der Patches helfen sollen.
Wie haben wir bei SmartIT darauf reagiert?
SmartIT hat für solche Fälle einen vordefinierten und mehrmals erprobten Prozess. Gleich nach Bekanntwerden dieser Lücken wurde eine interne Taskforce bestehend aus dem «Collaboration Team» und dem «Security Advisory» gebildet, welche sich mit höchster Priorität um das Patching aller uns bekannten Exchange Server gekümmert hat. Dabei wurden zum einen unsere eigene Hosted Exchange Plattform zum anderen aber auch alle in unserem Managed Service Modell betriebenen Server unserer Kunden im Emergency Change Verfahren gepatched. Weiter wurden alle Kunden von denen wir wissen, dass sie selber Exchange Server betreiben kontaktiert und zu sofortiger Installation der Security Patches geraten bzw. wurden die Installationen nach Absprache gleich von unseren Technikern durchgeführt.
In einem nächsten Schritt wurden über die folgenden Tage ausnahmslos alle Systeme mit den von Microsoft zur Verfügung gestellten Tools mehrfach auf Angriffsspuren überprüft.
Bei Systemen welche Auffälligkeiten aufwiesen wurden vertiefte Analysen durchgeführt. Alles weitere ist dann eine individuelle Risikoabwägung. Falls die Spuren auf einen gezielten Angriff hinweisen empfiehlt SmartIT den Einbezug spezialisierter Forensiker.
Fazit
Sicherheitslücken in Software sind an sich nichts Aussergewöhnliches. In diesem Fall ist die riesige Tragweite und die sehr weitreichenden Angriffsversuche durchaus besorgniserregend. Analysen haben gezeigt, dass zum Zeitpunkt der Verfassung dieses Artikels noch ca. 80‘000 ungepatchte Systeme am Netz waren, welche ein riesiges Gefahrenpotenzial mit sich bringen. Ich bin froh haben wir bei SmartIT eingespielte Teams und Prozesse, welche sich solchen Bedrohungen rasch und effizient annehmen. Insbesondere im Managed Service können Gegenmassnahmen sehr rasch eingeleitet und Gefahren schnell gebannt werden.
Falls Sie selber noch einen Exchange Server betreiben und dieser noch nicht gepatcht ist, muss davon ausgegangen werden, dass die Systeme kompromittiert sind. Bitte wenden Sie sich für eine Beratung bezüglich des weiteren Vorgehens an unser «Collaboration Team» oder an unseren «Security Advisor».
In der Nacht zum 3. März ist gleichzeitig mit dem Erscheinen von Patch-Software bekanntgeworden, dass das Mailserver Produkt Microsoft Exchange in allen verfügbaren On-Premise Versionen gleich von mehreren Sicherheitslücken betroffen ist, welche bereits aktiv von mindestens einer Angreifergruppe ausgenutzt werden. Man spricht von einem sogenannten 0-Day-Exploit. Die bekanntgewordenen Lücken beziehen sich auf den Web-Zugang zum Exchange-Server, über den die Smartphone-Synchronisierung, der Zugriff auf Outlook-Web-Access und auf mobilen Outlook-Clients bereitgestellt wird. Ein Angreifer kann sich durch die Schwachstellen Zugang zu den Systemen verschaffen und sogenannte «Web Shells» patzieren. Dabei handelt es sich um eine virtuelle Kommandozeile, mit deren Hilfe ein Angreifer auf das System zugreifen kann. Bei einer erfolgreichen Attacke ist es möglich, Daten aus dem E-Mail-System abzugreifen oder Server aus der Ferne zu steuern. Da Exchange Server üblicherweise über erhöhte Rechte im Active Directory verfügen, ist es denkbar, dass weitergehende Angriffe mit den Rechten eines übernommenen Exchange-Servers potentiell mit geringem Aufwand auch die gesamte Domäne kompromittieren können.
Diverse offizielle Stellen wie das Schweizer GovCERT oder das Deutsche Bundesamt für Sicherheit in der Informationstechnologie BSI haben mindestens eine der Schwachstellen als hoch kritisch eingestuft und zu sofortigem Handeln geraten.
Wie hat der Hersteller Microsoft darauf reagiert?
In der Nacht auf den 3. März hat Microsoft Notfall-Patches für die vier bekanntgewordenen Sicherheitslücken veröffentlicht mit Empfehlung zur sofortigen Installation. Weiter wurden über die folgenden Tage mehrere Tools zur Verfügung gestellt, welche in der Identifikation von möglichen Angriffen oder Angriffsversuchen vor der Einspielung der Patches helfen sollen.
Wie haben wir bei SmartIT darauf reagiert?
SmartIT hat für solche Fälle einen vordefinierten und mehrmals erprobten Prozess. Gleich nach Bekanntwerden dieser Lücken wurde eine interne Taskforce bestehend aus dem «Collaboration Team» und dem «Security Advisory» gebildet, welche sich mit höchster Priorität um das Patching aller uns bekannten Exchange Server gekümmert hat. Dabei wurden zum einen unsere eigene Hosted Exchange Plattform zum anderen aber auch alle in unserem Managed Service Modell betriebenen Server unserer Kunden im Emergency Change Verfahren gepatched. Weiter wurden alle Kunden von denen wir wissen, dass sie selber Exchange Server betreiben kontaktiert und zu sofortiger Installation der Security Patches geraten bzw. wurden die Installationen nach Absprache gleich von unseren Technikern durchgeführt.
In einem nächsten Schritt wurden über die folgenden Tage ausnahmslos alle Systeme mit den von Microsoft zur Verfügung gestellten Tools mehrfach auf Angriffsspuren überprüft.
Bei Systemen welche Auffälligkeiten aufwiesen wurden vertiefte Analysen durchgeführt. Alles weitere ist dann eine individuelle Risikoabwägung. Falls die Spuren auf einen gezielten Angriff hinweisen empfiehlt SmartIT den Einbezug spezialisierter Forensiker.
Fazit
Sicherheitslücken in Software sind an sich nichts Aussergewöhnliches. In diesem Fall ist die riesige Tragweite und die sehr weitreichenden Angriffsversuche durchaus besorgniserregend. Analysen haben gezeigt, dass zum Zeitpunkt der Verfassung dieses Artikels noch ca. 80‘000 ungepatchte Systeme am Netz waren, welche ein riesiges Gefahrenpotenzial mit sich bringen. Ich bin froh haben wir bei SmartIT eingespielte Teams und Prozesse, welche sich solchen Bedrohungen rasch und effizient annehmen. Insbesondere im Managed Service können Gegenmassnahmen sehr rasch eingeleitet und Gefahren schnell gebannt werden.
Falls Sie selber noch einen Exchange Server betreiben und dieser noch nicht gepatcht ist, muss davon ausgegangen werden, dass die Systeme kompromittiert sind. Bitte wenden Sie sich für eine Beratung bezüglich des weiteren Vorgehens an unser «Collaboration Team» oder an unseren «Security Advisor».
