Microsoft Exchange Sicherheitslücke Risikopotenzial und Gegenstrategien für E-Mail-Angriffe

Redakteur: Peter Schmitz

Gleich zweimal musste Microsoft in den letzten Wochen Sicherheitsupdates für seinen Exchange Server bereitstellen. Zusätzlich stellten die Redmonder über 2700 weitere, teils kritische Updates für Exchange und verschiedene Windows-Systeme zur Verfügung. IT-Security-Experte Steffen Ullrich über das Risikopotenzial von E-Mail-Servern sowie geeignete Gegenstrategien.

Firma zum Thema

Steffen Ullrich (genua): „Wir müssen uns bewusster werden und akzeptieren, dass die in sensitiven Netzen genutzte Software nicht immer den Sicherheitsbedürfnissen genügt.“
Steffen Ullrich (genua): „Wir müssen uns bewusster werden und akzeptieren, dass die in sensitiven Netzen genutzte Software nicht immer den Sicherheitsbedürfnissen genügt.“
(© sdecoret - stock.adobe.com)

Steffen Ullrich ist Technology Fellow bei genua.
Steffen Ullrich ist Technology Fellow bei genua.
(Bild: genua)

Security-Insider: In den vergangenen Wochen wurden massive Sicherheitslücken im Microsoft Exchange Server bekannt. Wie hoch schätzen Sie allgemein das Risiko ein, über Mail Server Opfer von Cyberattacken zu werden?

Steffen Ullrich: Die kürzlich bekannt gewordenen Sicherheitslücken beschränken sich auf Microsoft Exchange Server-Installationen, bei denen das Web Interface direkt zum Internet und damit Richtung Angreifer exponiert ist. Dieses Web Interface stellt den Zugang zu den Exchange-Diensten wie Mail und Kalender für den Browser bereit, aber auch für Applikationen wie MS Outlook. Das Sicherheitsproblem besteht darin, dass durch diesen Web-Zugang die interne Infrastruktur von MS Exchange ohne Authentisierung erreichbar und kompromittierbar ist.

In der Vergangenheit traten durchaus ähnlich kritische Probleme mit anderen Mail-Systemen auf. Beispielsweise gab es 2019 einen Bug im Mail Server Exim, bei dem ebenfalls ein Angreifer ohne Authentisierung in der Lage war, Code mit Systemrechten auf dem Mail Server auszuführen. Aber auch für MS Exchange ist dieses nicht die erste kritische Lücke. In den letzten Jahren wurden schon mehrere hochkritische Sicherheitslücken im Produkt bekannt. Und auch das aktuelle Problem scheint wohl nicht die letzte Lücke in MS Exchange für dieses Jahr zu sein. So hat die NSA gerade weitere kritische Lücken an Microsoft gemeldet.

Security-Insider: Wie lassen sich die Microsoft Exchange Sicherheitslücke und ihre Folgen technisch beschreiben?

Steffen Ullrich: Es sind gleichzeitig mehrere Sicherheitslücken bekannt geworden. Die wesentliche – „ProxyLogon“ – ermöglicht es einem nicht authentisierten Angreifer, die Authentisierung im Web Interface zu umgehen und Aktionen in der internen Infrastruktur von MS Exchange auszuführen. Das erlaubt ihm z. B. den Zugriff auf die gespeicherten Mails. Über die weiteren bekanntgewordenen Sicherheitslücken kann der Angreifer dann die komplette interne Infrastruktur des MS Exchange übernehmen. Da diese typischerweise mit dem internen Netz eng gekoppelt ist, kann der Angreifer auf weitere interne Ziele zugreifen. Entsprechend ist auch die Empfehlung, nicht nur zu patchen, sondern die interne Infrastruktur auf eine potentielle Kompromittierung hin zu untersuchen.

Security-Insider: Wodurch wurde die Sicherheitslücke konkret verursacht?

Steffen Ullrich: Die Umgehung der Authentisierung in ProxyLogon ist möglich, weil der Web Server für das Web Interface die Eingabedaten nicht ausreichend verifiziert. Insbesondere werden vom Client, also vom Angreifer geschickte Daten unter der Annahme durchgelassen, dass es die gleichen und unveränderten Daten sind, die vorher vom internen Server über den Web Server zum Client geschickt wurden. Letztlich handelt es sich also um eine unzureichende Validierung von Eingabedaten und einen unzureichenden Schutz von server-generierten Daten gegen Manipulationen im Client. Beides sind leider recht typische Probleme für Web-Applikationen, obwohl dafür prinzipiell bewährte Schutzmaßnahmen existieren.

Security-Insider: Welche IT-Security-Maßnahmen können konkret vor solchen Angriffen schützen?

Steffen Ullrich: Der Idealfall wäre die Nutzung proaktiver Lösungen, welche Angriffe direkt abwehren. Unglücklicherweise setzen diese aber im Allgemeinen voraus, dass die Details des Angriffs bereits bekannt sind, um darauf aufbauend passende Regeln für eine Web Applikation Firewall (WAF), eine Firewall oder ein Intrusion Detection System (IDS) zu implementieren. Diese Regeln sind dazu dann oftmals auch noch spezifisch für einen bestimmten bekannten Exploit und lassen sich durch Modifikationen des Angriffs umgehen.

Proaktiv kann man aber die Angriffsfläche reduzieren, indem man MS Exchange gar nicht erst direkt aus dem Internet erreichbar macht. Ein üblicher Weg ist es, den Zugriff von außen sowohl auf die interne Firmeninfrastruktur im Allgemeinen, als auch auf das MS Exchange im Speziellen, nur über ein VPN zu ermöglichen. Damit muss ein Angreifer eine initiale Hürde der Authentisierung am VPN erst einmal überwinden.

Allerdings sollte man auch beim VPN auf die Sicherheit achten. So wurden 2019 mehrere hochkritische Sicherheitslücken in bekannten und viel benutzten VPN-Lösungen von Palo Alto Networks, Fortinet und Pulse Secure gefunden, ironischerweise von der selben Firma DEVCORE, die jetzt die Lücken in MS Exchange gefunden hat. Und vor wenigen Tagen wurde bekannt, dass Angreifer eine weitere bisher unbekannte kritische Lücke in Pulse Secure VPN aktiv ausnutzen. Ist der Schutzbedarf sehr hoch bzw. für sehr sensible Geschäftsbereiche sollte man über Lösungen nachdenken, die extern evaluiert wurden und z. B. für VS-NfD oder NATO RESTRICTED zugelassen sind.

Proaktiv kann man die Infrastruktur von MS Exchange vom Rest des Netzes segmentieren und so die Auswirkungen einer erfolgten Kompromittierung von MS Exchange auf das interne Netz begrenzen. Mittels spezieller Lösungen lässt sich eine Separation auf Portebene vornehmen, wie es von Microsoft in „Network ports for clients and mail flow in Exchange“ beschrieben ist. Weitere sinnvolle Maßnahmen sind eine granulare Mikrosegmentierung auf Applikationsebene innerhalb eines Netzsegments, ein leistungsfähiges Monitoring sowie die Einbeziehung von IOC (Indicator of Compromise, z. B. IP-Adressen bekannter Angreifer oder bekannte Malware Tools) und IDS-Signaturen. Das erlaubt nicht nur eine detailliertere Separation, sondern auch die unmittelbare Reaktion auf durch IOC und IDS-Regeln erkannte Gefahren; und das mit einem transparenten Einsatz als Bridge, d. h. ohne Rekonfiguration der eigenen Netzinfrastruktur.

Security-Insider: Wie sollten Unternehmen abgesehen von den skizzierten technischen Maßnahmen ihre Sicherheitsstrategie ausrichten?

Steffen Ullrich: Wir müssen uns bewusster werden und akzeptieren, dass die in sensitiven Netzen genutzte Software nicht immer den Sicherheitsbedürfnissen genügt. Im besten Fall können wir bei Sicherheitsproblemen diese Software nicht oder nicht vollständig nutzen. Im schlimmsten Fall wurde durch das Sicherheitsproblem die komplette Infrastruktur kompromittiert. Anwender kommen dann nicht mehr an ihre eigenen Daten heran, sensitive Daten sind veröffentlicht oder es wurden gar Dritte in Mitleidenschaft gezogen.

Ransomware nutzt bereits massiv die aktuelle MS Exchange-Lücke als Einfallstor aus und vor nur wenigen Monaten wurde die Infiltration sensitiver und auch staatlicher Infrastrukturen über die kompromittierte Netzwerk-Management-Software Solarwinds bekannt. Vielen sind auch noch die Auswirkungen von WannaCry und NotPetya in Erinnerung.

Der Einsatz und der Umgang mit Software muss daher in ein Risikomanagement einbezogen werden. Das kann bedeuten, eine Software aus Sicherheitsgründen nicht einzusetzen. Oder es kann bedeuten, einfach nur zu hoffen, dass nichts passiert. Man kann auch gezielt versuchen, den möglichen Schaden zu begrenzen, z. B. durch eine explizite Beschränkung der Software auf das erwartete Verhalten oder durch extensives Monitoring des internen Netzes, um einen potentiellen Angreifer aufgrund seines ungewöhnlichen Verhaltens zu entdecken. Als Technologien können dabei eine granulare proaktive Mikrosegmentierung verbunden mit Monitoring helfen. Durch eine frühzeitige und evtl. automatisierte Reaktion auf erkannte Gefahren können diese Risiken besser beherrscht werden.

(ID:47367018)