Super-GAU in Microsoft Exchange

Sicherheitslücken in moderner Software sind leider nicht ungewöhnlich. Zum Ende des ersten Quartals begann Microsoft während eines Sicherheitsupdates außer der Reihe damit, Patches für die Exchange Server 2010 bis 2019 zu verteilen. Dabei wurde die Gefahr als nicht allzu hoch dargestellt. Wie sich im weiteren Verlauf aber herausstellte, wurden die vier Sicherheitslücken aktiv ausgenutzt – nach aktuellen Infos aus Chinesischen Netzen heraus.  Dazu kommt, dass die Auswirkungen der Lücken teilweise recht tiefe Eingriffe in die Systeme ermöglichen.

Brisant hieran ist, dass die Lücke bereits Ende letzten Jahres entdeckt und Anfang Januar an Microsoft gemeldet worden waren. Jedoch sollten erst im März dieses Jahres während des regulären Patch-Days die entsprechenden Korrekturen verteilt werden. Laut Meldungen aus Sicherheitskreisen wurden bereits Anfang Januar Angriffe beobachtet, die genau diese Lücken auszunutzen schienen.

Nachdem in kürzester Zeit vielen zehntausende Exchange-Server erfolgreich angegriffen wurden, warnte auch endlich das BSI mit höchster Priorität am 10. März vor den Schwachstellen. Für viele Firmen dürfte dies bereits zu spät gewesen sein.

Fehler in Web-Funktionen

Durch die Kombination der vier Schwachstellen können Angreifer über den – für Mail-Synchronisation zwingend notwendigen – Port-443-Webserver-Code einschleusen und ausführen. Auch das Schreiben von Dateien ist durch Ausnutzung der Lücken ohne Einschränkungen möglich. Systeme können gegebenenfalls soweit kompromitiert werden, dass auch nach dem Patchen eine spätere Ausnutzung möglich sein kann. Somit dürfte, wie bereits früher bei Verschlüsselungstrojanern, mit Erpressungsversuchen zu rechnen sein.

Wie weiter vorgehen?

Da die Lücke in Exchange schon länger vorhanden ist und mindestens seit Anfang Januar ausgenutzt wurde, ist jedem Exchange-Administrator dringend empfohlen, im ersten Schritt natürlich die Patches einzuspielen. Danach muss ebenso geprüft werden, ob Hinweise auf einen Einbruch zu finden sind. Folgen Sie hierzu den Anleitungen des BSI.

Netzwerkschutz per Firewall und IPS

Auch wenn zu diesem Zeitpunkt durch die bereits verfügbaren Korrekturen ein Beheben der Lücken auf Seiten des Servers möglich ist – nach dem Bug ist vor dem Bug! (frei nach Trainerlegende Sepp Herberger)

Moderne Sicherheitslösungen, wie zum Beispiel die Firewalls von Fortinet, verfügen über die Möglichkeit, weitgehend transparent eine Absicherung von Servern zu erreichen. Auch können leichte Funktionen, wie das Sperren bestimmter Web-Funktionalitäten, genutzt werden, die sich sonst auf Serverebene möglicherweise nicht oder nur schwer erreichen lassen, weil sie eventuell nicht vorgesehen sind.

Da der Exchange Server typischerweise nur Ende-zu-Ende verschlüsselte Zugriffe per HTTPS vorsieht (was für sich genommen natürlich sinnvoll ist), stellt die FortiGate zunächst einen sogenannten „Reverse Proxy“ zur Verfügung. Er nimmt die Ent- und Verschlüsselung in Richtung des Nutzers sowie in Richtung der Firewall jeweils vor. An dieser Stelle steht die Datenkommunikation für die Firewall unverschlüsselt zur Verfügung, was Grundlage für die Prüfung und Reglementierung ist. Nun kann das „Intrusion Detection and Prevention System“ (IDS/IPS) der Firewall die Kommunikation auf bekannte Muster von Angriffen untersuchen. Werden solche erkannt, wird automatisch die Kommunikation unterbrochen. Optional kann an dieser Stelle eine Benachrichtigung der Administration, zum Beispiel per SNMP Trap, erfolgen. Fortinet hat mit seinem Sicherheitslabor, zum Beispiel am 3. und 4. März, Signaturen zu den nun bekannten Lücken verteilt.

Zusätzlich zum IPS ist auch eine Filterung von Zugriffen möglich. So zum Beispiel kann man die OWA- und Remote-Management-Funktionalität mittels eines URL-Filters sperren oder nur für bestimmte Quellen freigeben.

Gerne stehen wir Ihnen – auch kurzfristig – zur Verfügung, um die entsprechenden Konfigurationsarbeiten gemeinsam durchzuführen. Details zum Vorgehen und den Anforderungen sprechen wir mit Ihnen ab.

Falls Sie eine Beratung zur Umsetzung von Sicherheitsvorkehrungen wünschen, zögern Sie nicht, uns auch hierzu anzusprechen. Gerne stellen wir Ihnen auf Basis Ihrer Anforderungen ein für Sie passendes Lösungspaket zusammen und planen mit Ihnen das Vorgehen zur Umsetzung.

Weiterführende Informationen:

• https://proxylogon.com/ – Technische Details, zeitlicher Ablauf (englisch)
• https://www.microsoft.com/… – Technische Informationen von Microsoft, Analyse von Servern zur Prüfung auf Kompromittierung (englisch)
• https://www.bsi.bund.de/… – Informationen des BSI zu Patches und Prüfung auf erfolgreiche Ausnutzung der Lücken (deutsch)
• FortiGuard Informationen; (englisch)
  • https://www.fortiguard.com/search?q=CVE-2021-26855&engine=3
  • https://www.fortiguard.com/search?q=CVE-2021-26857&engine=3
  • https://www.fortiguard.com/search?q=CVE-2021-26858&engine=3
  • https://www.fortiguard.com/search?q=CVE-2021-27065&engine=3

© Bildnachweis: pixabay.com by Michael Schwarzenberger