HAFNIUM Exchange

Schon letzte Woche Donnerstag, haben wir sowohl unsere betroffenen Kunden über einen schnellen und kurzen Newsletter informiert als auch direkte Maßnahmen vorgenommen. Es geht konkret um die bekanntgewordenen Sicherheitslücken in einem von Microsofts Kernprodukten, den Mail- & Groupware-Server „Microsoft Exchange“.

Nachdem die Sicherheitslage in den letzten Tagen allerdings zunehmend eskaliert und nun sogar das BSI die Bedrohungslage mit Rot klassifiziert, wollen wir unseren aktuellen Stand zu der Thematik darlegen und unseren Wissensstand teilen.


Was ist passiert?

Mitte der letzten Woche informierte Microsoft sowohl seine Partner per direktem Newsletter, als auch die Öffentlichkeit, über mehrere kritische Sicherheitslücke in seinem populären Mailserver-System „Microsoft Exchange“. Mit einem Marktanteil von über 30% (Quelle: Statista) stellt Exchange das am weitverbreitetsten Mail/Groupware-System der Welt dar. Zeitgleich wurden sowohl Sicherheitspatches nachgereicht als auch die Information, dass eine chinesische Hacker-Gruppe namens HAFNIUM diese Lücke bereits in den USA ausgenutzt hat.

Was folgte, bezeichnen wir in der IT als einen sogenannten „Zero-Day-Exploit“ – das bedeutet, dass eine Sicherheitslücke ab Tag 0 des Bekanntwerdens ausgenutzt und missbraucht wird. Das BSI geht dabei von ca. 26.000 über das Internet erreichbaren Exchange-Servern aus die sich auf einem alten und nicht entsprechend gepatchten Sicherheitslevel befinden. Mit jedem Tag, der seit Auftreten des Exploits vergeht, kommen neue Erkenntnisse hinzu. Infektionen werden bekannt und bei uns trudeln die ersten Anrufe von Kunden ein die uns fragen ob Sie Ihre Mailserver neuinstallieren müssen oder ob Sie überhaupt betroffen sind.

 

Wo liegt genau das Problem und bin ich betroffen?

Zuerst einmal die Frage, die am einfachsten zu klären ist: Sie sind höchstwahrscheinlich betroffen, sobald Sie Outlook als E-Mail-Client nutzen. Outlook ist das Gegenstück zu Exchange, verbindet sich zu dessen Diensten und sorgt dafür, dass Sie den Mailserver überhaupt erst nutzen können. Sie sind höchstwahrscheinlich betroffen, wenn Sie Exchange in den Versionen 2013, 2016 oder 2019 betreiben.
Sie sind womöglich nicht betroffen wenn Sie ausschließlich Office 365 bzw. Exchange Online nutzen. Hier werden die Dienste aus Microsofts Rechenzentrum bereitgestellt, von hier aus gewartet und sind auch entsprechend gegen Angriffe abgeschirmt. In Falle einer sogenannten Exchange-Online Hybrid-Stellung, sollten Sie zumindest mit Ihrem IT-Dienstleister die Systemarchitektur besprechen. Gegebenenfalls besteht auch hier ein Risiko. Für den Fall dessen, dass Sie noch ältere Exchange Versionen betreiben, wie zum Beispiel 2010 oder älter: Zum einen sind diese Versionen in Ihrer „Lebensdauer“ abgekündigt, hier sollte also aus Sicherheitsgründen geupdatet werden, zum anderen ist die Lücke aber so schwerwiegend das Microsoft selbst für den abgekündigten Exchange 2010 noch ein Update bereitgestellt hat.

Das Problem selbst ist etwas schwieriger zu erklären. Die Sicherheitslücken machen es in Kombination miteinander möglich Schadcode in Ihre internen IT-Systeme einzuschleusen, Einstellungen und Konfigurationen zu verändern. Genau hier liegt der Hund begraben. Man kann und wird nie sicher sagen können was hier überhaupt passiert ist. Alles was die aktuelle IT-Bedrohungslage hergibt, könnte prinzipiell eingeschleust worden sein und auf Aktivierung von außen warten. Wie ein Schläfer einer Terrorzelle warten dann gegebenenfalls Programme nur auf eine Aktivierung.

Dieses Prinzip kennen Sie sicherlich durch sogenannte Verschlüsselungs-Trojaner. Die eigentlichen Probleme beginnen oftmals Monate nach einer Infektion. Doch selbst wenn wir nicht so schlimm denken, könnte es trotzdem sein, dass einfach nur Daten von Ihren Systemen abgezogen werden würden. Dies beginnt bei E-Mail-Adressbüchern/E-Mailadressen welche später für weitere Angriffe genutzt werden können und könnte bei klassischen Konstruktionsdaten enden.

Aktuellen Stand überprüfen

Wichtig ist es zuerst einmal sich einen Überblick zu verschaffen und die Systeme auf einen aktuellen und sicheren Stand zu bringen. Das unterbindet zunächst einmal die Möglichkeit der Zugriffe von außerhalb.

Dazu müssen Sie nun auch nicht mehr das aktuelle Cumulative Update (CU) installieren, sondern Microsoft hat mittlerweile einzelne Patches für ältere Versionen bereitgestellt, damit schnell Abhilfe geschaffen werden kann. Genaueres finden Sie unter dem folgenden Link im Microsoft Support Center. Somit können die folgenden Versionen direkt gepatcht werden:

  • Exchange 2013 CU 23
  • Exchange 2016 CU 14, CU 15, CU 16, CU 18, CU 19
  • Exchange 2019 CU 4, CU 5, CU 6, CU 7, CU 8

Versionen, die nicht von den bisher verfügbaren Updates abgedeckt werden, müssen vorher auf einen höheren Patchstand gebracht werden. Als Beispiel sei hier der Exchange 2016 im CU 17 genannt.

Danach sollte überprüft werden ob bereits Zugriffe über die Sicherheitslücken erfolgt sind. Microsoft hat auf seiner Entwicklungs-Plattform „Github“ hierzu vorgefertigte Skripte bereitgestellt, die von einem Administrator ausgeführt und ausgewertet werden können – diese finden Sie unter dem folgenden Link: https://github.com/microsoft/CSS-Exchange/tree/main/Security

Was tun bei einem Einbruch?

Der Server ist nach erfolgreicher Installation des Patches zwar wieder für den Zugriff abgesichert und weitere Zugriffe sind unterbunden, gegen eine bereits erfolgte Infektion hilft das jedoch nicht. Wie oben erläutert lässt sich schlichtweg kaum mehr nachvollziehen was ein Angreifer auf Ihrem System angestellt hat. Stand heute versuchen wir bei unseren Kunden die folgenden Schritte:

  1. Patchen der Systeme
  2. Prüfung, ob ein Einbruch erfolgt ist
  3. Falls ja: Virenscan des kompletten Systems (nicht nur Exchange Server)
  4. Unterbinden des Exchange Datenverkehrs in das Internet
  5. Protokollierung der Active Directory Konten auf Kennwort-Veränderungen
  6. Prüfung der Exchange Mailbox-Einstellungen der Benutzer auf mögliche Weiterleitungsadressen
  7. Prüfung des Exchange auf mögliche Journaling-Einstellungen
  8. Prüfung der von Microsoft veröffentlichten Pfade auf verdächtige Dateien
  9. Aktivieren von Advanced Threat Protection Einstellungen in der Firewall, falls vorhanden
  10. Änderung der Administrator-Kennwörter

Ja nach Konfiguration benötigt der Exchange keinen direkten Datenverkehr nach „draußen“. Selbst wenn, dann sollte sich dieser mithilfe von Firewall-Richtlinien so minimal wie möglich gestalten lassen. In jedem Fall sollte ein sogenannten „Mail-Gateway“ vorgeschaltet sein, was ein- & ausgehende Mails auf Spam oder Schadsoftware überprüft.

Microsoft hat weiterhin eine Liste mit Pfaden veröffentlicht, welche Webshells, also Zugriffsmöglichkeiten von außen, beinhalten können. Dies sind:

  • C:\inetpub\wwwroot\aspnet_client\
  • C:\inetpub\wwwroot\aspnet_client\system_web\
  • %PROGRAMFILES%\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\
  • C:\Exchange\FrontEnd\HttpProxy\owa\auth\

Innerhalb dieser befinden sich im Falle einer möglichen Kompromittierung gegebenenfalls eine oder mehrere der folgenden Dateien:

  • web.aspx
  • help.aspx
  • document.aspx
  • errorEE.aspx
  • errorEEE.aspx
  • errorEW.aspx
  • errorFF.aspx
  • healthcheck.aspx
  • aspnet_www.aspx
  • aspnet_client.aspx
  • xx.aspx
  • shell.aspx
  • aspnet_iisstart.aspx
  • one.aspx
  • discover.aspx
  • TimeoutLogout.aspx
  • OutlookEN.aspx
  • 0QWYSEXe.aspx
  • load.apsx
  • logaaa.apsx

Zusätzlich dazu sollten Sie Pfade wie C:\ProgramData\ auf Dateiarchive mit Endungen wie .zip, .7z und .rar prüfen. Über diese Dateien können möglicherweise zu einem späteren Zeitpunkt Extraktionen Ihrer Daten erfolgen. Genauere Infos finden Sie im folgenden Microsoft Security Blog Artikel: https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/

Eine Neuinstallation des Systems erachten wir zum jetzigen Zeitpunkt als nicht zielführende Aktion. Es kann schließlich nicht garantiert werden, dass das Problem damit behoben ist, denn neben dem Exchange Server als Einfallstor, können auch andere Systeme betroffen sein. Wie auch bei der Sicherheitslücke des Citrix NetScalers, welche im letzten Jahr aufgetreten ist, bieten wir betroffenen Firmen aber auch hier unsere Unterstützung an. Viele der Prüfungsschritte haben wir bereits in einem Script automatisiert. Dieses finden Sie zum Download unter dem folgenden Link: https://cloud.conit-solutions.com/s/bcWepStCpZx4kkr