Als Microsoft vergangene Woche vier Sicherheitslücken in seiner E-Mail-Software Exchange bekanntgab, war von gezielten Attacken die Rede. Inzwischen entwickelt sich daraus eine globale Krise mit einem Wettlauf gegen die Zeit.
Für die Schwachstelle in Microsofts Software Exchange Server gibt es seit vergangenem Mittwoch zwar ein Sicherheitsupdate. Es muss aber von den Kunden installiert werden. Am Freitag ermahnte das Bundesamt für Sicherheit in der Informationstechnik (BSI) Tausende deutsche Unternehmen, die Lücke schnell zu stopfen.
Die Angaben zur Zahl der Betroffenen gingen in den Berichten weit auseinander. Weltweit könne es mehr als 250.000 Opfer geben, schrieb das Wall Street Journal am Wochenende unter Berufung auf eine informierte Person. Dem Finanzdienst Bloomberg sagte ein mit den Ermittlungen vertrauter ehemaliger US-Beamter, man wisse von mindestens 60.000 betroffenen E-Mail-Servern.
Empfehlung von Microsoft
Öffentliches Übersichtsdeck – Dies ist ein Ausgangspunkt, wenn Sie neu in diesem Bereich sind. Es enthält Informationen und wichtige Links
Hier finden Sie den Webcast von Microsoft:
Dies ist eine großartige Anleitung zur Fehlerbehebung und wird ständig aktualisiert
Die Sicherheitsanfälligkeiten betreffen die Exchange Server-Versionen 2013, 2016 und 2019, während Exchange Server 2010 auch für eingehende Verteidigungszwecke aktualisiert wird. Exchange Online ist nicht betroffen.
Diese Sicherheitslücken werden als Teil einer Angriffskette ausgenutzt. Der erste Angriff erfordert die Fähigkeit, eine nicht vertrauenswürdige Verbindung zum Exchange-Server herzustellen. Andere Teile des Angriffs können jedoch ausgelöst werden, wenn der Angreifer bereits Zugriff hat oder auf andere Weise Zugriff erhält. Dies bedeutet, dass Abhilfemaßnahmen wie das Einschränken nicht vertrauenswürdiger Verbindungen oder das Einrichten eines VPN nur vor dem anfänglichen Teil des Angriffs schützen, um die Angriffsfläche zu ändern oder teilweise abzuschwächen, und dass Patches die einzige Möglichkeit sind, eine vollständige Abschwächung vorzunehmen.
Microsoft folgte ursprünglich der gegnerischen Gruppe HAFNIUM, die gezielte Angriffe gegen bestimmte Organisationen startete. Vor kurzem haben andere Gegnergruppen begonnen, auf diese Sicherheitsanfälligkeiten abzuzielen, und wir gehen davon aus, dass diese Angriffe weiter zunehmen werden, wenn Angreifer diese Sicherheitsanfälligkeiten untersuchen und automatisieren. Nicht alle diese Stützpunkte werden sofort genutzt, und einige wurden wahrscheinlich für die künftige Nutzung eingerichtet. Eine detaillierte Übersicht finden Sie hier: HAFNIUM für Exchange Server mit 0-Tage-Exploits – Microsoft Security.
Das sollten Sie jetzt tun:
Eine erfolgreiche Antwort sollte aus den folgenden Schritten bestehen:
- Stellen Sie Updates auf betroffenen Exchange-Servern bereit.
- Nach Ausbeutung oder Persistenzindikatoren suchen.
- Korrigieren Sie festgestellte Ausbeutung oder Persistenz und untersuchen Sie Ihre Umgebung auf Anzeichen für seitliche Bewegung oder weitere Kompromisse.
Microsoft empfiehlt, dass Sie parallel aktualisieren und untersuchen. Wenn Sie jedoch eine Priorität festlegen müssen, sollten Sie die Aktualisierung und Minderung der Sicherheitsanfälligkeit priorisieren.
Es ist unbedingt erforderlich, dass Sie Ihre betroffenen Exchange-Bereitstellungen sofort aktualisieren oder verringern. Diese Sicherheitslücken werden von mehreren gegnerischen Gruppen aktiv ausgenutzt. Blockieren Sie für höchste Sicherheit den Zugriff auf anfällige Exchange-Server aus nicht vertrauenswürdigen Netzwerken, bis Ihre Exchange-Server gepatcht oder entschärft sind.
Stellen Sie Updates auf betroffenen Exchange-Servern bereit
Wenn Sie in Ihren Umgebungen, in denen Exchange ausgeführt wird, kein Inventar der Server haben, können Sie das von Microsoft bereitgestellte nmap-Skript verwenden , um Ihre Netzwerke nach anfälligen Exchange-Bereitstellungen zu durchsuchen. Wenden Sie für die Exchange-Server in Ihrer Umgebung sofort Updates für die von Ihnen ausgeführte Exchange-Version an. Die allgemeine Zusammenfassung dieser Leitlinien lautet:
- Exchange Online ist nicht betroffen.
- Exchange 2003 und 2007 werden nicht mehr unterstützt, es wird jedoch nicht angenommen, dass sie von den Sicherheitsanfälligkeiten im März 2021 betroffen sind. Sie müssen auf eine unterstützte Version von Exchange aktualisieren, um sicherzustellen, dass Sie Ihre Bereitstellung gegen Schwachstellen sichern können, die in aktuellen Versionen von Microsoft Exchange behoben wurden, sowie gegen zukünftige Korrekturen für Sicherheitsprobleme.
- Exchange 2010 ist nur von CVE-2021-26857 betroffen , was nicht der erste Schritt in der Angriffskette ist. Unternehmen sollten das Update anwenden und dann die folgenden Richtlinien befolgen, um mögliche Ausnutzung und Persistenz zu untersuchen.
- Exchange 2013, 2016 und 2019 sind betroffen. Stellen Sie die unten beschriebenen Updates sofort bereit oder wenden Sie die unten beschriebenen Schadensbegrenzungen an. Befolgen Sie diese Anleitung, um zu ermitteln, welche Updates Sie von Ihrer aktuellen CU-Version auf eine Version mit den neuesten Sicherheitspatches benötigen: Veröffentlicht: März 2021 Exchange Server-Sicherheitsupdates – Microsoft Tech Community . Mithilfe des verknüpften Health Checker-Skripts können Sie hier genau ermitteln, welche CUs für Ihre Bereitstellung benötigt werden. Microsoft hat außerdem zusätzliche Sicherheitsupdates für ausgewählte ältere Exchange-CUs veröffentlicht, um deren Pfad zu Patches für diese Sicherheitsanfälligkeiten zu beschleunigen.
Untersuchen Sie, ob Ausbeutung, Persistenz oder Anzeichen einer seitlichen Bewegung vorliegen
Zusätzlich zum Schutz Ihrer Exchange-Server vor Ausnutzung sollten Sie sicherstellen, dass die Sicherheitsanfälligkeiten nicht ausgenutzt wurden, bevor Sie sie in einen geschützten Zustand versetzt haben.
- Analysieren Sie die Exchange-Produktprotokolle auf Hinweise auf Ausnutzung . Microsoft hat hier detaillierte Schritte veröffentlicht, einschließlich Skripts zur Automatisierung: Scannen Sie Exchange-Protokolldateien nach Anzeichen für Kompromisse . Wenn Sie das bereitgestellte Skript verwenden, können Sie einige oder alle Exchange-Server gleichzeitig scannen.
- Scannen Sie nach bekannten Web-Shells. Das Microsoft Defender-Team hat Sicherheitsinformationen für bekannte Malware im Zusammenhang mit diesen Sicherheitsanfälligkeiten in die neueste Version des Microsoft-Sicherheitsscanners aufgenommen . Führen Sie diesen Sicherheitsscanner auf jedem Exchange-Server in Ihrer Umgebung aus. Wenn Sie Hilfe benötigen, finden Sie hier ausführliche Anleitungen: CSS-Exchange / Defender-MSERT-Guidance.md unter main · microsoft / CSS-Exchange · GitHub