Verteidigung gegen Sunburst, ProxyLogon & Co. So schützen Angriffs­simulationen vor Angriffen

Autor / Redakteur: Zur Ulianitzky / Peter Schmitz

Nur wenige Wochen nach dem Bekanntwerden des massiven Supply-Chain-Angriffs auf SolarWinds sahen sich Unternehmen auf der ganzen Welt mit Sicherheitsproblemen konfrontiert, die auf die Ausnutzung von vier Zero-Day-Schwachstellen in Microsoft Exchange-Servern zurückgehen. Mit Angriffssimulationen können Unternehmen Zero-Day-Lücken wie ProxyLogon in Microsoft Exchange erkennen und entschärfen.

Eine wirksame Angriffssimulation offenbart nicht nur Sicherheitslücken, sie zeigt auch, wie ein Angreifer die Lücken ausnutzen würde.
Eine wirksame Angriffssimulation offenbart nicht nur Sicherheitslücken, sie zeigt auch, wie ein Angreifer die Lücken ausnutzen würde.
(© Sergey Nivens - stock.adobe.com)

Laut Microsoft handelte es sich bei den ProxyLogon-Angriffen um eine staatlich gesponserte Operation, innerhalb kürzester Zeit hatte sich aber eine Art Wildwest-Szenario entwickelt, in dem auch andere Cyberkriminelle begannen, Angriffe auf die Schwachstellen zu fahren.

Nach Berichten von Bloomberg waren mehr als 60.000 Unternehmen weltweit bekanntermaßen von der Sicherheitspanne betroffen. Nach der Veröffentlichung des ersten Patches am 2. März gab Microsoft weitere Details zu dem Angriff und seiner Ausführung bekannt.

In einem vor kurzem veröffentlichten Beitrag schrieb Microsoft: „[Wir haben] festgestellt, dass mehrere Zero-Day-Exploits für begrenzte, gezielte Angriffe auf lokale Microsoft Exchange Server-Installationen verwendet werden. Bei den beobachteten Angriffen nutzte der Bedrohungsakteur diese Schwachstellen aus, um sich Zugriff auf lokale Exchange-Server zu verschaffen. Dies ermöglichte ihm, Zugang zu E-Mail-Konten zu erhalten und weitere Malware zu installieren, um sich langfristigen Zugriff auf die Umgebungen der Opfer zu sichern. Das Microsoft Threat Intelligence Center (MSTIC) führt diese Kampagne mit hoher Wahrscheinlichkeit auf HAFNIUM zurück, eine Gruppe, bei der die Viktimologie und die beobachteten Taktiken und Vorgehensweisen darauf schließen lassen, dass sie staatlich gesponsert ist und von China aus operiert.“

So werden die Angriffe ausgeführt

Die vier Schwachstellen werden von Sicherheitsforschern unter der Bezeichnung „ProxyLogon“ zusammengefasst. Sie können eine Angriffskette bilden und dazu genutzt werden, Admin-Rechte auf Exchange-Servern zu erhalten. Dies versetzt die Angreifer dann in die Lage, Malware zu installieren.

Hier ein Beispiel für die Vorgehensweise:

  • Ein Angreifer scannt nach verwundbaren Servern
  • Der Angreifer nutzt eine SSRF-Schwachstelle (CVE-2021-26855), um sich Admin-Rechte auf dem Exchange-Server zu verschaffen
  • Danach nutzt der Angreifer eine weitere Sicherheitslücke aus (CVE-2021-27065), die es ihm ermöglicht, Dateien auf dem Exchange-Server zu editieren. So kann der Angreifer eine Web-Shell auf dem Exchange-Server erstellen
  • Im Anschluss kann sich der Angreifer Zugang zu sensiblen E-Mail-Informationen verschaffen, sich auf dem Exchange-Server einnisten und aus dieser Position heraus weitere Angriffe durchführen

Während die viele Angriffe mit nationalstaatlichen Akteuren in Verbindung gebracht werden, wurde auch ein funktionierender Proof-of-Concept veröffentlicht. Diesen könnten Angreifer nutzen, um ähnlich schwerwiegende Attacken zu starten, falls verwundbare Server nicht rechtzeitig gepatcht werden.

Unternehmen sollten also schnell handeln und ihre Abwehr hochfahren. Da diese Schwachstellen so weit verbreitet sind, ist die Verstärkung der Verteidigungsmaßnahmen ein Wettlauf mit der Zeit.

So schützen Angriffssimulationen vor ProxyLogon und künftigen Angriffen

Grafische Darstellung einer Angriffssimulation.
Grafische Darstellung einer Angriffssimulation.
(Bild: XM Cyber)

Eine effektive Angriffssimulation ist darauf ausgelegt, optimalen Schutz vor Advanced Persistent Threats (APTs) und anderen hochentwickelten Bedrohungen zu bieten und simuliert Angriffe auf die vorhandenen Verteidigungssysteme. Um eine schnelle Reaktion zu gewährleisten sollten die Angriffssimulationen automatisiert sowie kontinuierlich durchgeführt werden und befähigen IT-Verantwortliche dadurch, größtmöglichen Überblick über alle Schwachstellen in den verschiedenen Umgebungen zu gewinnen. Der große Vorteil von Angriffssimulationen liegt darin, die eigenen Abwehrmaßnahmen mit den Augen eines Angreifers sehen zu können.

Eine wirksame Simulation zeigt jedoch nicht nur Sicherheitslücken auf – sie macht auch deutlich, wie ein Angreifer die Lücken ausnutzen würde. Die angriffszentrierte Schwachstellenpriorisierung geht über konventionelle, CVSS-basierte Schwachstellenscans hinaus und liefert entscheidenden Risikokontext. Sie konzentriert sich auf das eine Prozent der ausnutzbaren Schwachstellen, das ein echtes Risiko für die geschäftskritischen Assets darstellt. Mit diesem Wissen muss keine Zeit mehr durch das Patchen von Servern verschwendet werden, die nur geringe Priorität haben.

In einer Zeit wie dieser ist es unerlässlich, über die richtigen Software-Tools zu verfügen. Angriffe wie ProxyLogon sind wiederkehrende Probleme. Kontinuierliche Schwachstellenscans (die zugleich entscheidenden Risikokontext aufzeigen) sind deshalb für sicherheitsbewusste Unternehmen ein zwingendes Gebot.

Die nächsten Schritte

Microsoft hat die IT-Administratoren dringend aufgefordert, die veröffentlichten Fixes und schadensbegrenzenden Maßnahmen sofort anzuwenden. Zudem hat Microsoft ein Skript für IT-Administratoren auf GitHub hochgeladen, das Indicators of Compromise zu den vier bekannten Sicherheitslücken enthält.

Letztendlich sollten Unternehmen diese Gelegenheit ergreifen, um ihre Abwehrbereitschaft neu zu bewerten. Eine tiefgehende, laufende Übersicht über die bestehenden Schwachstellen – gepaart mit wichtigem Risikokontext und effektiver Priorisierung – ist das beste Mittel, um Herausforderungen wie ProxyLogon zu meistern.

Wenn man bedenkt, was auf dem Spiel steht, könnte das größte Risiko von allen vielleicht darin bestehen, die kritischsten Assets nicht mit einer Plattform zu schützen, die die oben genannten Eigenschaften bietet.

Über den Autor: Zur Ulianitzky ist Head of Research bei XM Cyber.

(ID:47443080)