SmartIT
Weitreichende Sicherheitslücken in Microsoft Exchange

Mittwoch, 24. März 2021 - Patrick Buser

Weitreichende Sicherheitslücken in Microsoft Exchange

Microsoft Exchange wird aktuell in allen verfügbaren On-Premise Versionen von Sicherheitslücken geplagt, welche auch aktiv ausgenutzt werden. Die Bedrohungslage ist ernst! Im Folgenden Artikel beschreibe ich kurz die Ausgangslage und bekannten Fakten und wie wir bei SmartIT in den vergangenen Tagen mit der Situation umgegangen sind.
Was ist passiert?
In der Nacht zum 3. März ist gleichzeitig mit dem Erscheinen von Patch-Software bekanntgeworden, dass das Mailserver Produkt Microsoft Exchange in allen verfügbaren On-Premise Versionen gleich von mehreren Sicherheitslücken betroffen ist, welche bereits aktiv von mindestens einer Angreifergruppe ausgenutzt werden. Man spricht von einem sogenannten 0-Day-Exploit. Die bekanntgewordenen Lücken beziehen sich auf den Web-Zugang zum Exchange-Server, über den die Smartphone-Synchronisierung, der Zugriff auf Outlook-Web-Access und auf mobilen Outlook-Clients bereitgestellt wird. Ein Angreifer kann sich durch die Schwachstellen Zugang zu den Systemen verschaffen und sogenannte «Web Shells» patzieren. Dabei handelt es sich um eine virtuelle Kommandozeile, mit deren Hilfe ein Angreifer auf das System zugreifen kann. Bei einer erfolgreichen Attacke ist es möglich, Daten aus dem E-Mail-System abzugreifen oder Server aus der Ferne zu steuern. Da Exchange Server üblicherweise über erhöhte Rechte im Active Directory verfügen, ist es denkbar, dass weitergehende Angriffe mit den Rechten eines übernommenen Exchange-Servers potentiell mit geringem Aufwand auch die gesamte Domäne kompromittieren können.

Diverse offizielle Stellen wie das Schweizer GovCERT oder das Deutsche Bundesamt für Sicherheit in der Informationstechnologie BSI haben mindestens eine der Schwachstellen als hoch kritisch eingestuft und zu sofortigem Handeln geraten.

Wie hat der Hersteller Microsoft darauf reagiert?
In der Nacht auf den 3. März hat Microsoft Notfall-Patches für die vier bekanntgewordenen Sicherheitslücken veröffentlicht mit Empfehlung zur sofortigen Installation. Weiter wurden über die folgenden Tage mehrere Tools zur Verfügung gestellt, welche in der Identifikation von möglichen Angriffen oder Angriffsversuchen vor der Einspielung der Patches helfen sollen.

Wie haben wir bei SmartIT darauf reagiert?
SmartIT hat für solche Fälle einen vordefinierten und mehrmals erprobten Prozess. Gleich nach Bekanntwerden dieser Lücken wurde eine interne Taskforce bestehend aus dem «Collaboration Team» und dem «Security Advisory» gebildet, welche sich mit höchster Priorität um das Patching aller uns bekannten Exchange Server gekümmert hat. Dabei wurden zum einen unsere eigene Hosted Exchange Plattform zum anderen aber auch alle in unserem Managed Service Modell betriebenen Server unserer Kunden im Emergency Change Verfahren gepatched. Weiter wurden alle Kunden von denen wir wissen, dass sie selber Exchange Server betreiben kontaktiert und zu sofortiger Installation der Security Patches geraten bzw. wurden die Installationen nach Absprache gleich von unseren Technikern durchgeführt.

In einem nächsten Schritt wurden über die folgenden Tage ausnahmslos alle Systeme mit den von Microsoft zur Verfügung gestellten Tools mehrfach auf Angriffsspuren überprüft.

Bei Systemen welche Auffälligkeiten aufwiesen wurden vertiefte Analysen durchgeführt. Alles weitere ist dann eine individuelle Risikoabwägung. Falls die Spuren auf einen gezielten Angriff hinweisen empfiehlt SmartIT den Einbezug spezialisierter Forensiker.

Fazit
Sicherheitslücken in Software sind an sich nichts Aussergewöhnliches. In diesem Fall ist die riesige Tragweite und die sehr weitreichenden Angriffsversuche durchaus besorgniserregend. Analysen haben gezeigt, dass zum Zeitpunkt der Verfassung dieses Artikels noch ca. 80‘000 ungepatchte Systeme am Netz waren, welche ein riesiges Gefahrenpotenzial mit sich bringen. Ich bin froh haben wir bei SmartIT eingespielte Teams und Prozesse, welche sich solchen Bedrohungen rasch und effizient annehmen. Insbesondere im Managed Service können Gegenmassnahmen sehr rasch eingeleitet und Gefahren schnell gebannt werden.

Falls Sie selber noch einen Exchange Server betreiben und dieser noch nicht gepatcht ist, muss davon ausgegangen werden, dass die Systeme kompromittiert sind. Bitte wenden Sie sich für eine Beratung bezüglich des weiteren Vorgehens an unser «Collaboration Team» oder an unseren «Security Advisor».

Beitrag teilen

Unsere Autoren

.
Florian Amport
_Beiträge anzeigen
.
Dominic Augstburger
_Beiträge anzeigen
.
Mirjam Banholzer
_Beiträge anzeigen
.
David Birrer
_Beiträge anzeigen
.
Hansruedi Brunner
_Beiträge anzeigen
.
Patrick Buser
_Beiträge anzeigen
.
Adrian Dolder
_Beiträge anzeigen
.
Patrick Fontana
_Beiträge anzeigen
.
Sara Fuchser
_Beiträge anzeigen
.
Fabrizio Gobeli
_Beiträge anzeigen
.
Patrick Grau
_Beiträge anzeigen
.
Tanja Herzog
_Beiträge anzeigen
.
Phil Kiener
_Beiträge anzeigen
.
Jonas Leu
_Beiträge anzeigen
.
Andreas Moser
_Beiträge anzeigen
.
Fabian Müller
_Beiträge anzeigen
.
Simon Nachmansohn
_Beiträge anzeigen
.
Daniel Rentsch
_Beiträge anzeigen
.
Lars Rizzi
_Beiträge anzeigen
.
Remo Rüedi
_Beiträge anzeigen
.
Michael Schäublin
_Beiträge anzeigen
.
Stefan Schiffmann
_Beiträge anzeigen
.
Marco Strazzini
_Beiträge anzeigen
.
Alexander Tschanz
_Beiträge anzeigen
.
Roberto Valentini
_Beiträge anzeigen
.
Christoph von Siebenthal
_Beiträge anzeigen
Andreas Walther
_Beiträge anzeigen
.
Sarah Winiger
_Beiträge anzeigen
.
Burak Zendeli
_Beiträge anzeigen

Die neusten Beiträge

Dienstag, 6. Juli 2021
Gut schlafen, trotz zunehmender Gefahr von Verschlüsselungs-Attacken
_Beitrag anzeigen
Montag, 5. Juli 2021
«Es ist schlicht an der Zeit die heutige Server Infrastruktur vor Ort abzulösen.»
_Beitrag anzeigen
Dienstag, 22. Juni 2021
«Herunterfahren und frisch aufstarten ist im Homeoffice keine Seltenheit.»
_Beitrag anzeigen
Donnerstag, 17. Juni 2021
Mehr IT-Sicherheit in KMU: SmartIT ist Fortinet SMB Hero
_Beitrag anzeigen
Dienstag, 8. Juni 2021
«Die Leute sollen Freude haben an der Arbeit für den Schweizer Alpen-Club SAC»
_Beitrag anzeigen

Ihre Suchresultate

schliessen