Super-GAU in Micro­soft Exchange

Sicher­heits­lü­cken in moderner Soft­ware sind leider nicht unge­wöhn­lich. Zum Ende des ersten Quar­tals begann Micro­soft während eines Sicher­heits­up­dates außer der Reihe damit, Patches für die Exchange Server 2010 bis 2019 zu verteilen. Dabei wurde die Gefahr als nicht allzu hoch darge­stellt. Wie sich im weiteren Verlauf aber heraus­stellte, wurden die vier Sicher­heits­lü­cken aktiv ausge­nutzt - nach aktu­ellen Infos aus Chine­si­schen Netzen heraus.  Dazu kommt, dass die Auswir­kungen der Lücken teil­weise recht tiefe Eingriffe in die Systeme ermöglichen.

Brisant hieran ist, dass die Lücke bereits Ende letzten Jahres entdeckt und Anfang Januar an Micro­soft gemeldet worden waren. Jedoch sollten erst im März dieses Jahres während des regu­lären Patch-Days die entspre­chenden Korrek­turen verteilt werden. Laut Meldungen aus Sicher­heits­kreisen wurden bereits Anfang Januar Angriffe beob­achtet, die genau diese Lücken auszu­nutzen schienen.

Nachdem in kürzester Zeit vielen zehn­tau­sende Exchange-Server erfolg­reich ange­griffen wurden, warnte auch endlich das BSI mit höchster Prio­rität am 10. März vor den Schwach­stellen. Für viele Firmen dürfte dies bereits zu spät gewesen sein.

Fehler in Web-Funktionen

Durch die Kombi­na­tion der vier Schwach­stellen können Angreifer über den - für Mail-Synchro­ni­sa­tion zwin­gend notwen­digen - Port-443-Webserver-Code einschleusen und ausführen. Auch das Schreiben von Dateien ist durch Ausnut­zung der Lücken ohne Einschrän­kungen möglich. Systeme können gege­be­nen­falls soweit kompro­mi­tiert werden, dass auch nach dem Patchen eine spätere Ausnut­zung möglich sein kann. Somit dürfte, wie bereits früher bei Verschlüs­se­lungs­tro­ja­nern, mit Erpres­sungs­ver­su­chen zu rechnen sein.

Wie weiter vorgehen?

Da die Lücke in Exchange schon länger vorhanden ist und mindes­tens seit Anfang Januar ausge­nutzt wurde, ist jedem Exchange-Admi­nis­trator drin­gend empfohlen, im ersten Schritt natür­lich die Patches einzu­spielen. Danach muss ebenso geprüft werden, ob Hinweise auf einen Einbruch zu finden sind. Folgen Sie hierzu den Anlei­tungen des BSI.

Netz­werk­schutz per Fire­wall und IPS

Auch wenn zu diesem Zeit­punkt durch die bereits verfüg­baren Korrek­turen ein Beheben der Lücken auf Seiten des Servers möglich ist - nach dem Bug ist vor dem Bug! (frei nach Trai­ner­le­gende Sepp Herberger)

Moderne Sicher­heits­lö­sungen, wie zum Beispiel die Fire­walls von Fortinet, verfügen über die Möglich­keit, weit­ge­hend trans­pa­rent eine Absi­che­rung von Servern zu errei­chen. Auch können leichte Funk­tionen, wie das Sperren bestimmter Web-Funk­tio­na­li­täten, genutzt werden, die sich sonst auf Server­ebene mögli­cher­weise nicht oder nur schwer errei­chen lassen, weil sie even­tuell nicht vorge­sehen sind.

Da der Exchange Server typi­scher­weise nur Ende-zu-Ende verschlüs­selte Zugriffe per HTTPS vorsieht (was für sich genommen natür­lich sinn­voll ist), stellt die Forti­Gate zunächst einen soge­nannten “Reverse Proxy” zur Verfü­gung. Er nimmt die Ent- und Verschlüs­se­lung in Rich­tung des Nutzers sowie in Rich­tung der Fire­wall jeweils vor. An dieser Stelle steht die Daten­kom­mu­ni­ka­tion für die Fire­wall unver­schlüs­selt zur Verfü­gung, was Grundlage für die Prüfung und Regle­men­tie­rung ist. Nun kann das “Intru­sion Detec­tion and Preven­tion System” (IDS/IPS) der Fire­wall die Kommunikation auf bekannte Muster von Angriffen unter­su­chen. Werden solche erkannt, wird auto­ma­tisch die Kommunikation unter­bro­chen. Optional kann an dieser Stelle eine Benach­rich­ti­gung der Admi­nis­tra­tion, zum Beispiel per SNMP Trap, erfolgen. Fortinet hat mit seinem Sicher­heits­labor, zum Beispiel am 3. und 4. März, Signa­turen zu den nun bekannten Lücken verteilt.

Zusätz­lich zum IPS ist auch eine Filte­rung von Zugriffen möglich. So zum Beispiel kann man die OWA- und Remote-Manage­ment-Funktionalität mittels eines URL-Filters sperren oder nur für bestimmte Quellen freigeben.

Gerne stehen wir Ihnen - auch kurz­fristig - zur Verfü­gung, um die entspre­chenden Konfi­gu­ra­ti­ons­ar­beiten gemeinsam durch­zu­führen. Details zum Vorgehen und den Anfor­de­rungen spre­chen wir mit Ihnen ab.

Falls Sie eine Bera­tung zur Umset­zung von Sicher­heits­vor­keh­rungen wünschen, zögern Sie nicht, uns auch hierzu anzu­spre­chen. Gerne stellen wir Ihnen auf Basis Ihrer Anfor­de­rungen ein für Sie passendes Lösungs­paket zusammen und planen mit Ihnen das Vorgehen zur Umsetzung.

Weiter­füh­rende Informationen:

 

© Bild­nach­weis: pixabay.com by Michael Schwar­zen­berger

Schreibe einen Kommentar

Cookie Einstellungen
Diese Website verwendet Cookies, um die bestmögliche Funktionalität zu gewährleisten. Mehr lesen

Akzeptiere alle Cookies Speichern