Microsoft liefert Updates und Skripte, BSI verschickt Briefe Exchange-Bedrohungslage bleibt angespannt

Autor / Redakteur: M.A. Dirk Srocke / Peter Schmitz

Die Bedrohungslage um die seit Monatsbeginn bekannten Schwachstellen in Microsoft Exchange hält offenbar weiter an. Mittlerweile informierte das BSI Unternehmen auf dem Postweg, berichtete zeitweise von betroffenen Bundesbehörden und aktualisiert die Sicherheitswarnung zur „IT-Bedrohungslage 4/Rot“ regelmäßig.

Das BSI hat per Post Briefe an die Geschäftsführer von über 9.000 KMU verschickt.
Das BSI hat per Post Briefe an die Geschäftsführer von über 9.000 KMU verschickt.
(Bild: © www.pelzinger.de)

Auch eine Woche nach Bekanntwerden der Sicherheitslücken von Exchange-Servern meldet das Bundesamt für Sicherheit in der Informationstechnik (BSI) weiterhin „IT-Bedrohungslage 4/Rot“ und gibt im aktuell regelmäßig aktualisierten PDF-Dokument einen Überblick über „Mehrere Schwachstellen in MS Exchange“. Das auf deutsch verfasste Papier liefert hiesigen Admins Details zu den vier Schwachstellen „die in Kombination bereits für zielgerichtete Angriffe verwendet werden und Tätern die Möglichkeit bieten, Daten abzugreifen oder weitere Schadsoftware zu installieren.“

BSI informiert per Schneckenpost...

Bereits am 5. März berichtete das BSI mit Verweis auf den IT-Dienstleister Shodan, dass allein in Deutschland zehntausende Exchange-Server angreifbar und mit hoher Wahrscheinlichkeit bereits mit Schadsoftware infiziert sind. Erschwerend hinzu käme, „dass tausende Systeme noch Schwachstellen aufweisen, die seit über einem Jahr bekannt sind und noch nicht gepatched wurden.“

Hierbei hat das BSI insbesondere KMU im Blick, bei denen Angreifer dann nicht nur die E-Mail-Kommunikation kompromittieren. Über weiter verwundbare Server-Systeme könnten Angreifer oftmals auch gleich Zugriff auf das komplette Unternehmensnetzwerk erlangen.

Im Rahmen des Engagements zur Erhöhung der IT-Sicherheit bei KMU habe das BSI daher postalisch die Geschäftsführung von über 9.000 Unternehmen kontaktiert, die nach bisherigem Kenntnisstand von den Exchange-Schwachstellen betroffen sind.

Damit berücksichtigt das BSI übrigens auch eine Empfehlung Microsofts. Der Softwarehersteller hatte bereits in seinen Security-Hinweisen zur kompromittierten Kommunikationslösung auf mögliche Mitleser verwiesen – und dem entsprechend geraten, bis zur finalen Klärung isolierte Kommunikationskanäle zu nutzen.

...und streicht Hinweis auf betroffene Bundesbehörden wieder

In der vorherigen Cybersicherheitswarnung Nr. 2021-197772-1500 (Version 1.5 vom 8.3.2021) verwies das BSI überdies auf vorliegende Hinweise zu sechs betroffenen Bundesbehörden. In vier Fällen sei es zu einer möglichen Kompromittierung gekommen – so konnten wir es bei Erstellung dieses Artikels noch in einer Kopie des Dokuments im Google-Cache nachlesen.

In Update 6 wurde diese Information kommentarlos gelöscht; unsere Nachfrage dazu beim BSI blieb bislang unbeantwortet.

Microsoft liefert Updates, Skripte und Handlungsempfehlungen

Microsoft selbst hatte die Schwachstellen schon am 2. März publik gemacht und umfassende Hilfestellungen zur Behebung angeboten. Das Microsoft Security Response Center berichtet dabei auch von laufenden Angriffen. Ursprünglich habe man gezielte Zero-Day-Attacken der Gruppe HAFNIUM beobachtet – als deren Hintermänner man vom chinesischen Staat unterstützte Hacker vermutet. Mittlerweile würden auch weitere Akteure die Schwachstellen ausnutzen, um beispielsweise Web Shells zu installieren und tief in die IT-Infrastrukturen von Organisationen einzudringen.

Dem entsprechend sollten Unternehmen die Schwachstellen zum einen schleunigst beheben oder abmildern. Ein erster (keinesfalls dauerhaft ausreichender) Schritt könne beispielsweise sein, nicht vertrauenswürdige Verbindungen einzuschränken oder VPNs einzurichten. Zugleich müssten Updates jedoch eingespielt und Netze auch auf persistente Spuren weiterer Manipulationen untersucht werden; die würden womöglich erst später aktiviert und ausgenutzt.

Details zu Updates, Herangehensweisen und hilfreiche Skripte hat Microsoft in einem umfassenden und stetig aktualisierten Blogbeitrag zusammengestellt. Dort beschreibt der Anbieter eine Angriffskette aus verschiedenen Schwachstellen (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065). Hierüber könnten Angreifer Code einschleusen und ausführen (Remotecodeausführung).

Exchange Server – diese Versionen sind betroffen

Akut angreifbar sind Exchange Server Versionen 2013, 2016 und 2019. Exchange 2010 ist ausschließlich von CVE-2021-26857 betroffen. Damit ließe sich der erste Schritt der Angriffskette nicht bewerkstelligen; dennoch sollten Anwender auch hier die entsprechenden Updates einspielen und sicherstellen, dass keine weitere Schadsoftware auf eigene Server gelangt ist. Hierbei könne eine Auswertung von Log-Files helfen. Das Microsoft Defender Team deckt bekannte Malware zudem mit der aktuellen Version des Microsoft Safety Scanner ab, den Administratoren auf jedem Exchange-Server laufen lassen sollten. Für Sicherheitsexperten stellt Microsoft zudem kostenlos ein Feed von Indicators of Compromise (IOCs) im CSV- oder JSON-Format bereit.

Die älteren Exchange-Versionen 2003 und 2007 sind nach derzeitigem Kenntnisstand nicht für das aktuelle Angriffsszenario anfällig, werden von Microsoft allerdings auch nicht mehr gepflegt. Microsoft empfiehlt hier eindringlich ein Update.

Lehren für die Zukunft

Welche Lehren Administratoren für die Zukunft ziehen könnten, deuten bereits Microsofts Hilfestellungen an. Nicht ganz grundlos wird der Hersteller seinen Kunden ein nmap Skript bereitstellen, das genau dort nach verwundbaren Exchange-Servern sucht, wo Admins bislang eine Inventarisierung vernachlässigt haben.

Thomas Jupe, Portfoliomanager PreSales und Portfolio bei Orange Cyberdefense, kommentiert: „Unternehmen sollten durch diesen Vorfall wachgerüttelt werden. Leider gibt es immer noch eine Vielzahl von Unternehmen, die das Thema IT-Security stiefmütterlich behandeln und durch solch einen Vorfall großen Schaden erleiden können. Sie sollten nicht bis zur nächsten Sicherheitslücke warten, sondern jetzt die notwendigen Maßnahmen einleiten, um für zukünftige Vorfälle entsprechend gerüstet zu sein.“

Fünf konkrete Tipps vom eco

Markus Schaffrin, Sicherheitsexperte im eco Verband und Geschäftsbereichsleiter Mitgliederservices, gibt Unternehmen hierfür auch gleic fünf konkrete Tipps mit auf den Weg:

  • Inventarisierung: Machen Sie eine Bestandsaufnahme der eingesetzten Software und Systeme: Was wird wo genutzt? Welche Systeme laufen aktuell und welche wurden außer Betrieb genommen?
  • Legen Sie Zuständigkeiten fest: Wer ist wofür verantwortlich?
  • Bewerten Sie Risiken und klassifizieren Sie diese entsprechend: Welche Services sind für mein Unternehmen am wichtigsten, welche Auswirkungen haben Schwachstellen für mein Geschäft?
  • Sammeln Sie proaktiv Informationen zu möglichen Schwachstellen, etwa vom BSI (Bundesamt für Sicherheit in der Informationstechnik) und CERT Bund.
  • Legen Sie Prozesse für regelmäßige und für Notfallpatches fest und üben Sie diese mit Ihren Mitarbeitern ein.

(ID:47270264)

Über den Autor