Das Microsoft ATP Research Team weist in einem aktuellen Blog-Eintrag auf die Gefahren hin, denen Exchange-Server aktuell ausgesetzt sind. „Auf Exchange-Servern fehlten bisher – oft absichtlich – Virenschutzlösungen, Netzwerkschutz, die neuesten Sicherheitsupdates und die richtige Sicherheitskonfiguration, weil man fälschlicherweise annahm, dass diese Schutzmechanismen die normalen Exchange-Funktionen beeinträchtigen. Angreifer wissen das, und sie nutzen dieses Wissen, um in einem angegriffenen Ziel Fuß zu fassen.“
Die Sicherheitsexperten erklären, dass es im Wesentlichen zwei Möglichkeiten gibt, wie Exchange-Server kompromittiert werden. Das erste und häufigere Szenario besteht darin, dass Angreifer Social Engineering oder Drive-by-Download-Angriffe starten, die auf Endpunkte abzielen, wo sie Anmeldeinformationen stehlen und sich in einer progressiven Dump-escalate-Move-Methode lateral zu anderen Endpunkten bewegen, bis sie Zugriff auf einen Exchange-Server erhalten.
Das zweite Szenario besteht darin, dass Angreifer eine Schwachstelle bei der entfernten Codeausführung ausnutzen, die die zugrunde liegende Internet Information Server (IIS) Komponente eines Exchange-Zielservers beeinträchtigt. Dies ist der Wunschtraum eines Angreifers, denn wenn der Server falsch konfigurierte Zugriffsebenen hat, kann er Systemprivilegien erlangen.
Das erste Szenario ist häufiger anzutreffen, aber Microsoft beobachtet aktuelle eine starke Zunahme von Angriffen der zweiten Art, insbesondere von Angriffen, die Exchange-Schwachstellen wie CVE-2020-0688 ausnutzen. Das Sicherheitsupdate, das diese Schwachstelle behebt, steht seit mehreren Monaten zur Verfügung, aber viele Kunden haben den Patch immer noch nicht implementiert.
Nachdem die Angreifer Zugriff auf einen Exchange-Server erlangt haben, richten sie eine Web-Shell in einem der vielen im Web zugänglichen Pfade auf dem Server ein. Diese Web-Shells ermöglichen es Angreifern, Daten zu stehlen oder andere böswillige Aktionen durchzuführen.
Zur Abwehr dieser Bedrohungen rät Microsoft zu einem Vorgehen mit fünf Schritten:
1. Implementieren Sie die neuen Sicherheitsupdates
Identifizieren und beheben Sie Schwachstellen oder Fehlkonfigurationen in Exchange-Servern. Implementieren Sie die aktuellen Sicherheitsupdates, insbesondere für Serverkomponenten wie Exchange, sobald diese verfügbar sind. Prüfen Sie insbesondere, ob die Patches für CVE-2020-0688 vorhanden sind. Nutzen Sie das Bedrohungs- und Schwachstellenmanagement, um diese Server regelmäßig auf Schwachstellen, Fehlkonfigurationen und verdächtige Aktivitäten zu überprüfen.
2. Aktivieren Sie Virenschutz und andere Schutzmaßnahmen
Es ist von entscheidender Bedeutung, Exchange-Server mit Antiviren-Software und anderen Sicherheitslösungen wie Firewall und Multi-Faktor-Authentifizierung (MFA) zu schützen. Aktivieren Sie den Cloud-basierten Schutz und die automatische Musterübermittlung, um künstliche Intelligenz und maschinelles Lernen zu nutzen, um neue und unbekannte Bedrohungen schnell zu erkennen und zu stoppen. Verwenden Sie Regeln zur Reduzierung der Angriffsfläche, um automatisch Verhaltensweisen wie den Diebstahl von Berechtigungsnachweisen und die verdächtige Verwendung von PsExec und WMI zu blockieren. Schalten Sie Manipulationsschutzfunktionen ein, um Angreifer daran zu hindern, Sicherheitsdienste zu stoppen. Sie sollten sich keine Sorgen machen, dass diese Sicherheitskontrollen die Leistung beeinträchtigen oder den Betrieb stören.
3. Überprüfung sensibler Rollen und Gruppen
Überprüfen Sie hochprivilegierte Gruppen wie Administratoren, Remote-Desktop-Benutzer und Unternehmens-Admins. Angreifer fügen diesen Gruppen Konten hinzu, um auf einem Server Fuß zu fassen. Überprüfen Sie diese Gruppen regelmäßig auf verdächtige Hinzufügungen oder Entfernungen. Um Exchange-spezifische Anomalien zu identifizieren, überprüfen Sie die Liste der Benutzer in sensiblen Rollen wie Postfachimportexport und Organisationsverwaltung mit dem Cmdlet „Get-ManagementRoleAssignment“ in Exchange PowerShell.
4. Zugriff einschränken
Praktizieren Sie das Prinzip der geringsten Privilegien und wahren Sie die Zugangshygiene. Vermeiden Sie die Verwendung von domänenweiten Dienstkonten auf Administratorebene. Setzen Sie starke randomisierte, just-in-time lokale Administrator-Passwörter durch und aktivieren Sie Multi-Faktor-Authentifizierung (MFA). Verwenden Sie Werkzeuge wie Local Administrator Password Solution (LAPS). Platzieren Sie Zugriffskontrolllisten-Beschränkungen (ACL) für das Exchange Control Panel (ECP) und andere virtuelle Verzeichnisse im Internet Information Server IIS. Stellen Sie das ECP-Verzeichnis nicht ins Web, wenn es nicht notwendig ist.
5. Alerts priorisieren
Achten Sie auf Warnungen, die auf verdächtige Aktivitäten auf Exchange-Servern hinweisen, und untersuchen Sie diese sofort. Das Abfangen von Angriffen in der Erkundungsphase, d.h. in der Zeit, in der Angreifer nach dem Zugriff mehrere Tage damit verbringen, die Umgebung zu erkunden, ist von entscheidender Bedeutung. Gemeinsame Anwendungspools wie „MSExchangeOWAAppPool“ oder „MSExchangeECPAppPool“ werden häufig von Angreifern durch den Einsatz einer Web-Shell gekapert. Priorisieren Sie Warnungen in Bezug auf Prozesse wie net.exe, cmd.exe und mshta.exe, die aus diesen Pools oder w3wp.exe im Allgemeinen stammen.
Quelle: Microsoft warnt vor Angriffen auf Exchange Server | ZDNet.de
Update 05.10.2020
Dringend patchen: Rund eine viertel Million Exchange-Server angreifbar
Kriminelle nutzen eine Lücke in Microsoft Exchange, um Server zu übernehmen. Dabei gibt es seit Februar einen Patch.
Im Februar veröffentlichte Microsoft ein Sicherheits-Update für eine gefährliche Lücke in Microsoft Exchange. Diese ermöglicht es Angreifern, den Server aus dem Internet anzugreifen und zu übernehmen. Und Kriminelle nutzen das aktiv aus. Doch immer noch sind über 60% der ursprünglich anfälligen Server verwundbar – also fast 250.000, berichtet die Sicherheitsfirma Rapid7.
Rapid7 weiß, wovon sie spricht: Die Firma entwickelt das Penetration-Testing-Framework Metasploit, für das sie auch bereits einen funktionsfähigen Exploit für die Lücke CVE-2020-0688 entwickelt hat. Anfang April waren nach ersten Tests 350.000 Systeme angreifbar. Obwohl unter anderem das US-CERT bereits vor aktiven Angriffen durch staatliche Hacker warnte, spielen offenbar viele Admins die Microsoft-Updates nicht ein.
Angriff auf Exchange
Bei der Lücke handelt es sich um einen Fehler bei der Erstellung von Schlüsseln, mit denen Exchange unter anderem die Echtheit von Objekten überprüft, erklärt Microsoft in Microsoft Exchange Validation Key Remote Code Execution Vulnerability. Statt zufälliger Schlüssel verwenden alle Exchange-Server die gleichen statischen Keys validationKey und decryptionKey für das Web-Interface. So kann ein Exchange-Nutzer eigenen Code einschleusen, der dann mit SYSTEM-Rechten ausgeführt wird und den Exchange-Server komplett übernimmt. Der Angreifer benötigt allerdings bereits gültige Zugangsdaten.
Exchange ist die Kommunikationszentrale vieler Unternehmen. Ein erfolgreicher Angriff darauf legt den Grundstein für Spionage und viele weitere Angriffsszenarien wie CEO-Fraud oder Erpressung. Administratoren sollten ihre Exchange-Installation dringend überprüfen und absichern.
Quelle: Dringend patchen: Rund eine viertel Million Exchange-Server angreifbar | heise online
Update 08.10.2020
BSI warnt vor kritischen Lücken in Exchange Server
Mindestens eine Schwachstelle nutzen Hacker bereits für gezielte Angriffe. Für sie liegt seit Februar ein Patch vor. Das BSI bestätigt Zahlen von Rapid7, wonach hierzulande zehntausende Exchange Server angreifbar sind.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor kritischen Lücken in Microsoft Exchange Server. Zwar liegen bereits Updates für die Anfälligkeiten vor, laut einer Analyse des BSI sollen jedoch Zehntausende in Deutschland betriebene Exchange Server weiterhin ungepatcht sein.
Der Behörde geht es vor allem um die Schwachstellen mit den Kennungen CVE-2020-0688, CVE-2020-0692 und CVE-2020-16875, für die zum Teil bereits Exploit-Code öffentlich verfügbar ist. CVE-2020-0688 soll bereits für gezielte Angriffe ausgenutzt werden.
Die ersten beiden Lücken erlauben unter Umständen eine vollständige Kompromittierung eines Exchange Servers beziehungsweise eine nicht autorisierte Ausweitung von Benutzerrechten. Betroffen sind Exchange Server 2010, 2013, 2016 und 2019. Über CVE-2020-16875 lässt sich möglicherweise Schadcode aus der Ferne einschleusen und ausführen, allerdings erst nach vorheriger Authentifizierung. Dafür sind Exchange Server 2016 und 2019 anfällig.
„Die anfälligen Dienste der Microsoft Exchange Server sollten grundsätzlich nicht öffentlich erreichbar sein. Trotzdem sind nach wie vor viele Exchange-Server über Exchange Web Services öffentlich erreichbar und mehrere Tausend Exchange Server anfällig für CVE-2020-0688“, heißt es in der Warnung des BSI. „Die von der Firma Rapid 7 veröffentlichten Zahlen konnten seitens des BSI für Deutschland validiert werden und weisen auf ein Grundproblem bei der sicheren Konfiguration und dem Einspielen kritischer Sicherheitsupdates hin.“
In Zusammenarbeit mit Netzbetreibern informiert das BSI nun die Besitzer von verwundbaren und über das Internet erreichbaren Exchange-Servern. Die Behörde weist zudem darauf hin, dass Exchange 2010 am 13. Oktober den Status End of Support erreicht – Exchange Server 2010 erhält also mit dem Oktober-Patchday letztmalig sicherheitsrelevante Updates.
Die als besonders schwerwiegend eingestufte Schwachstelle CVE-2020-0688 wurde von Microsoft bereits im Februar 2020 geschlossen. Dasselbe gilt für CVE-2020-0692. CVE-2020-16875 wurde indes erst im September gepatcht.
Quelle: BSI warnt vor kritischen Lücken in Exchange Server | ZDNet.de
Update 04.11.2020
Exchange-Lücke: Immer noch viele Server offen
Einen Monat nachdem heise Security über die dramatische Zahl an verwundbaren Systemen berichtete, hat sich die Situation zwar verbessert, aber nicht entspannt.
Seit Februar ist eine gefährliche Lücke in Exchange bekannt, für die in Deutschland immer noch mindestens 32.000 Server anfällig sind. Seit heise Security vor einem Monat auf die dramatische Situation beim Exchange-Patch-Stand aufmerksam machte und das BSI Betroffene informiert, haben etwa 25% der Betreiber reagiert. Doch die digitale Existenz von über 30.000 deutschen Unternehmen hängt immer noch an einem seidenen Faden.
Unsere Gespräche mit Exchange-Administratoren haben auch eine plausible Erklärung dafür zu Tage gefördert, warum so viele Systeme die wichtigen Security-Updates nicht erhalten. Denn eigentlich gibt es mit WSUS ein weitgehend automatisiertes Update-System für Microsoft-Systeme in Firmenumgebungen. Der Admin wird über anstehende Sicherheits-Update informiert und muss diese lediglich genehmigen, um sie einzuspielen.
Die Update-Falle CU
Doch seit Exchange 2013 gibt es vierteljährliche Cumulative Updates (CU), die so etwas wie Service Packs darstellen. Diese erscheinen nicht im WSUS und können nur von Hand installiert werden. Dabei ist jedes CU quasi eine volle Exchange-Installation, die auch neue Funktionen enthalten kann und sich nicht rückgängig machen lässt. Vor der Installation dieser CUs scheuen deshalb viele Admins aus verschiedensten Gründen zurück.
Das Problem ist jedoch, dass Micrsosoft Sicherheits-Updates jeweils nur für das aktuelle CU und dessen Vorgänger bereit stellt – also nur für Systeme, die maximal ein halbes Jahr alt sind. Bei CVE-2020-0688 in Exchange 2016 zum Beispiel gibt es die lebenswichtigen Patches nur für CU14 und CU15 (die späteren CUs enthalten das Update bereits). Wer also seit dem 17. September 2019 kein CU von Hand eingespielt hat, bekommt dieses wichtige Sicherheits-Update im WSUS gar nicht zu Gesicht. Der Server erscheint dort grün, obwohl ihm wichtige Sicherheits-Updates fehlen.
Die Situation ist ernst; die Lücke wird bereits aktiv ausgenutzt. Wer also einen Microsoft Exchange Server administriert, sollte jetzt sofort nachprüfen, ob er sich auf einem aktuellen CU-Stand befindet. Wenn nicht, sollte er das baldmöglichst ändern. Und dann auch gleich Zeit einplanen, diesen Vorgang vierteljährlich zu wiederholen.
Quelle: Exchange-Lücke: Immer noch viele Server offen | heise online
