Letzte Woche haben wir belgische Unternehmen, die Microsoft Exchange Server verwenden, vor einer Systemsicherheitslücke gewarnt. Seit diesem Wochenende wissen wir, dass in Belgien mehr als 1000 Microsoft Exchange Server anfällig sind und wir erhalten immer mehr Nachrichten über Cybervorfälle bei Organisationen und Unternehmen, die diesen Mailserver verwenden. Es ist klar, dass diese Sicherheitslücke auf verschiedene Art und Weise und von mehreren kriminellen Organisationen aktiv genutzt wird. In den kommenden Wochen könnte uns einen Überfluss an Cyberangriffe auf anfällige Organisationen bevorstehen.

Am 3. März haben wir eine Stellungnahme mit den zu ergreifenden Maßnahmen veröffentlicht. Diese Stellungnahme wurde am 16. März aktualisiert. 

Es ist wichtig, zwischen den „On-Premises“, „hybrid“ und „online“ Set-ups von Microsoft Exchange zu unterscheiden.

• On-Premises-Software bedeutet, dass Ihre Software in Ihrem Unternehmen selbst installiert ist, auf den Rechnern und Servern des Unternehmens.
• Hybrid bedeutet, dass Ihre Software sowohl in Ihrem Unternehmen als auch online (in der Cloud) installiert ist.
• Ein Online-Set-up bedeutet, dass Ihre Software nur online (in der Cloud) installiert ist.

Microsoft möchte sehr deutlich betonen, dass der Exchange Online-Dienst nicht betroffen ist. Exchange Online-Kunden, die ein hybrides Set-up oder einen On-Premises Exchange-Server für Verwaltungsanwendungen haben, müssen zwar sofort handeln.

Was ist hier los?

1. Alles begann mit einem „nationalstaatlichen“ Angriff, unter dem Namen Hafnium. Exchange-Sicherheitslücken wurden gefunden und genutzt. Nach dem Angriff konnten sich Hacker Zugriff auf die Exchange-Umgebungen von Unternehmen verschaffen und dann Zugriff auf Administratorkonten erlangen und so die Umgebung weiter infiltrieren. Um die Sicherheitslücken zu beheben, hat Microsoft am 2. März 2021 eine Reihe von Updates veröffentlicht. (siehe auch Link unten) Microsoft hat auch ein Update für Exchange 2010 veröffentlicht, eine Version, die nicht mehr unterstützt wird.
    
2. Einige böswillige Gruppen installieren „Web-Shells“ bei Unternehmen, so dass sie aus der Ferne Zugriff auf und Kontrolle über einen Online-Server haben. So können sie sozusagen eine Kommunikationslinie zu den Unternehmen offen halten, um später einen Angriff zu starten. Daher ist es sehr wichtig, solche Probleme so früh wie möglich zu erkennen. Für Unternehmen, die nicht über die Microsoft Defender-Lösung verfügen, hat  Microsoft hat ein separates Tool lanciert, das Web-Shells effektiv erkennen und entfernen kann. (siehe auch Link unten)
    
3. In manchen Fällen ist es möglich, dass die Hacker neben den absichtlichen „Web-Shells“ auch andere Malware hinterlassen haben, um zu einem späteren Zeitpunkt einen Angriff zu starten, zum Beispiel Ransomware. Daher ist es wichtig, dass die Umgebung auf alle möglichen verdächtigen Situationen untersucht wird.

Was sollten Organisationen so schnell wie möglich tun?

1. Das „Patchen“ der Systeme, d. h. die Installation eines kleinen Stücks Software, um die Fehler zu beheben und/oder Updates durchzuführen;
    
2. Das Entfernen aller möglichen Web-Shells;
    
3. Das Prüfen der Web-Shell. Reines Patchen und Entfernen der Web-Shell ist nicht ausreichend. Berücksichtigen Sie dabei Folgendes:
   1. Das Microsoft Test-ProxyLogon.ps1Test-ProxyLogon.ps1 Skript (https://github.com/microsoft/CSS-Exchange/tree/main/Security) für weitere Details (Zeitpunkt, path, IP, ...)
   2. Webserver-Protokolle, (Reverse-)Proxy-Protokolle, Firewall- oder IDS-Protokolle, AntiVirus-Protokolle, …
   3. Das One-Click Microsoft Exchange On-Premises Mitigation Tool https://msrc-blog.microsoft.com/2021/03/15/one-click-microsoft-exchange-on-premises-mitigation-tool-march-2021/
       
4. Die Erforschung von Dingen wie verdächtige Benutzeranmeldungen in bestehenden Konten, neue Konten mit verdächtig vielen Rechten, verdächtiger ausgehender Datenverkehr über http(s), automatische Aufgaben auf Endpoints, neue und verdächtige „E-Mail-Weiterleitungs“-Regeln (SMTP-Weiterleitungen), usw. Dies sind typische Aktivitäten von Hackern, um den Kronjuwelen der Unternehmen näher zu kommen.

Wichtige Quellen:

Advisory von CERT.be, dem operativen Dienst des Zentrums für Cybersicherheit Belgien:

https://cert.be/nl/meerdere-kritieke-kwetsbaarheden-voor-microsoft-exchange

Übersicht über alle zu befolgenden Schritte von Microsoft:

 Multiple Security Updates Released for Exchange Server - am 12. März 2021 aktualisiert - Microsoft Security Response Center