Elektroniknet Logo

Angriffe auf Exchange-Server

Zehn Schritte zur Sicherheit

Prof. Dr. Hartmut Pohl, softScheck: »Alles entscheidend sind die - noch - nicht identifizierten Backdoors!«
Prof. Dr. Hartmut Pohl, softScheck: »Alles entscheidend sind die - noch - nicht identifizierten Backdoors!«
© softScheck

Was im Falle eines erfolgreichen Angriffs auf den Exchange-Server zu tun ist, erklärt Prof. Dr. Hartmut Pohl, Geschäftsführer von softScheck.


Bereits seit November 2020 sollen von kriminellen Unternehmen erfolgreich eine ganze Reihe von Sicherheitslücken im Microsoft Exchange Server der Versionen seit 2013 remote ohne Authentisierung ausgenutzt werden. Am 5. Januar 2021 ist Microsoft offiziell über die Sicherheitslücken informiert worden. Erst am 2. März hat Microsoft zu bereits ausgenutzten Sicherheitslücken Patches (Sicherheitsupdates) veröffentlicht.

Solange die veröffentlichten Patches nicht eingespielt werden, sind naturgemäß dieselben Angriffe nach wie vor möglich; dies gilt weltweit für über 100.000 nicht gepatchte Microsoft Exchange-Server – davon in Deutschland ca. 25.000 (abnehmend). Die Angriffe werden von mehr als zehn kriminellen Unternehmen programmgesteuert von gemieteten Servern in den USA durchgeführt, so dass sehr viele Systeme praktisch gleichzeitig erfolgreich angegriffen werden.

Bei Ausnutzung der veröffentlichten Sicherheitslücken können alle Mails gelesen, Mails geschrieben und auch andere Programme ausgeführt werden (z.B. IP-Telefonie) – sowie andere Daten genutzt werden wie z.B. die privaten Schlüssel für Signaturen. Jede Art Spionage und Sabotage erscheint möglich! Das BSI warnt (Bedrohungsstufe 4 ‚Sehr hoch‘ eingestuften) vor den Sicherheitslücken seit dem 3. März. Weitere schwere Sicherheitslücken können nicht ausgeschlossen werden.

Inzwischen sind auch erfolgreiche Angriffe auf die Cloud-Version Office 365 veröffentlicht. Naturgemäß stellt der Betrieb einer Software in einer Cloud keine Sicherheitsmaßnahme dar. Im Gegenteil wird die Cloud durch die vielen Anwender als Angriffspunkt attraktiver.

Ziel der Angriffe ist – wie auch im Solarwinds-Fall – die Installation von Backdoors (Webshells) auf den Kundensystemen. Diese ermöglichen den nachhaltigen Zugriff auf alle Daten und Manipulation aller Daten des Opfers, Fernsteuerung der IT-Systeme und die zeitlich unbegrenzte Installation weiterer Angriffe (Ransomware ist nur ein erstes Beispiel) im Unternehmensnetz.

Als Angreifer sieht Microsoft das chinesische Unternehmen Hafnium, ohne dies weiter zu begründen. Immer wieder werden als Angreifer Unternehmen aus den sogenannten Schurkenstaaten genannt wie (in alphabetischer Reihenfolge) China (mehr als 27 kriminelle Unternehmen mit insgesamt mehr als 75.000 Mitarbeitern!), Indien, Iran, Japan, Nord-Korea, Russland sowie den USA. Diese Unternehmen sind meist spezialisiert auf Branchen, besondere Techniken o.ä. Beweise liegen allerdings bisher nicht vor. In allen Staaten unterhalten die wichtigen Unternehmen Kontakte zu ihren nationalen Behörden und zur Regierung (nation-state cybercrime groups); Identität und Nationalität der Angreifer erscheinen generell für Anwender irrelevant.

In den USA werden alle den Behörden bekannt gewordenen Sicherheitslücken in einem US-Only Regierungsgremium unter Beteiligung der NSA, des NIST sowie dem jeweiligen Software-Hersteller bewertet; je nach Nutzwert und Bedeutung wird hier entschieden, wann, an wen und wie eine Sicherheitslücke veröffentlicht werden kann, gepatcht oder auch geheim gehalten werden soll. Allein aus diesem festgelegten Verfahren resultiert schon ein Zeitintervall zwischen der Meldung an den Hersteller und der Veröffentlichung von Patches. (In Deutschland kann das Bundesamt für die Sicherheit in der Informationstechnik (BSI) Sicherheitslücken, Patches etc. veröffentlichen – muss aber nicht. Das BSI stimmt sich dabei allerdings mit anderen Behörden ab.). Gehen Sie also davon aus, dass weitere Sicherheitslücken noch nicht zur Veröffentlichung freigegeben wurden.

Der Angriffsablauf

  • Microsoft hat die Sicherheitslücken (Zero-Day-Vulnerabilities) mehrere Monate geheim gehalten. In dieser Zeit waren die Angreifer, zu denen die Informationen durchgestochen worden waren, bereits aktiv.
  • Die Sicherheitslücken würden an weitere Angreifer weitergegeben, so dass schließlich mehr als zehn kriminelle Unternehmen weltweit erfolgreich angriffen.
  • Im Laufe der Zeit wurden die Angriffe automatisiert, so dass sehr viele deutsche Unternehmen, Behörden und Institutionen erfolgreich angegriffen wurden.
  • In dieser Zeit gelang es den angreifenden Unternehmen – für die Anwender unerkennbar – Backdoors in die Anwendersysteme einzubauen.
  • Alle IT-Systeme betroffener Anwender können verseucht sein. Daher müssen auch alle Systeme überprüft werden. Die bekannten Backdoors müssen identifiziert werden.
  • Auch auf weitere noch nicht veröffentlichte Backdoors müssen alle Anwendersysteme – mit speziellen Verfahren – überprüft werden.
  • Sofern Angriffssoftware in den Speichern von Geräten wie Platten, Druckern o.ä. hinterlegt worden ist (üblich spätestens seit dem Bundestagsfall 2014/15), reicht das Neu-Aufsetzen von Software nicht aus – vielmehr müssen die Geräte stillgelegt und ausgetauscht werden.

Folgende Schritte sollten sofort durchgeführt werden:

1.    Informieren Sie Ihre Unternehmensleitung über die Brisanz der Angriffe und die möglichen Folgen – entsprechend den offiziellen BSI-Hinweisen (und hier)

Sensibilisieren Sie auch die Mitarbeiter! Die Angriffe ermöglichen den Angreifern den Einbau von Backdoors nicht nur in Exchange Servern sondern in allen Ihren Systemen. Zwar sind einige Backdoors bekannt – allerdings dürften weitere noch unveröffentlichte eingebaut sein.
Überprüfen Sie Ihre Notfallpläne und informieren Sie die Unternehmensleitung, welche Situationen nicht beherrscht werden.

2.    Bringen Sie jede installierte Software auf den jüngsten Update-Stand. Dies ist die grundlegende Voraussetzung für alle weiteren Aktivitäten. Allerdings beendet das (unverzichtbar!) zeitnahe Patchen nicht den Angriff, wenn Backdoors eingebaut wurden. Über die eingebauten Backdoors können die Angreifer auch noch in den nächsten Jahren (!) in die Anwendersysteme eindringen. Alle Backdoors müssen also identifiziert und gelöscht werden.

3.    Setzen Sie zeitnah die vom BSI empfohlenen Prüfroutinen von Microsoft ein, um zu sehen, ob Sie angegriffen wurden. Bitte sorgen Sie dafür, dass Ihre Mitarbeiter die dazu notwendigen Zugriffs- und Ausführungsrechte erhalten. Diese Angriffsprüfung ist Pflicht für deutsche Behörden. Überprüfen Sie auch die Liste betroffener Exchange Server.

4.    Trennen Sie bitte spätestens dann Ihre Systeme vom Internet, wenn die Prüfroutinen zeigen, dass die Sicherheitslücken bei Ihnen ausgenutzt wurden, Sie also erfolgreich angegriffen wurden. Sie müssen davon ausgehen, dass seit November Backdoors in Ihre Systeme eingebaut wurden, die seitdem beliebig ausgenutzt werden konnten und zukünftig weiterhin ausgenutzt werden können, ohne dass Sie es bemerken.

5.    Setzen Sie zeitlich parallel Exchange Server völlig neu auf und spielen Sie das jüngste Backup ein. Schalten Sie diese(n) Server ans Internet und nehmen den üblichen Betrieb auf. Damit erreichen Sie eine kleinstmögliche Downtime.

6.    Protokollieren und kontrollieren Sie unbedingt den ein- und ausgehenden Verkehr auf verdächtige Aktivitäten wie unberechtigte Kommunikation. Wenn sich Verdachtsmomente ergeben, trennen Sie die IT-Systeme sofort wieder vom Internet. Die Prüfroutinen von Microsoft sollten auch wiederholt eingesetzt werden.

7.    Forensische Untersuchungen:

  • Untersuchen Sie forensisch die Exchange Server auf weitere Angriffsspuren.
  • Untersuchen Sie alle IT-Systeme, die im Intranet mit den Exchange Servern verbunden waren auf verdächtige Aktivitäten – insbesondere auf Backdoors.

8.    Wir sind uns im Klaren darüber, dass durch das Abschalten erhebliche Kosten und ggf. Schadensersatzforderungen Dritter entstehen können – sind aber der Überzeugung, dass nur das Abschalten Manipulationen an Daten und Software (Sabotage) und Kopieren von Daten und Software (Spionage) sowie die Installation weiterer Angriffe verhindern kann. Informieren Sie Kunden, Partner und Mitarbeiter über diesen Schritt und begründen Sie ihn. Stellen Sie sich ein auf intensive Diskussionen und halten Sie Ihre Unternehmensleitung informiert. Die Angreifer sind nicht die immer noch kolportierten Schüler und Studenten, sondern Unternehmen mit 20 bis über 100 ausgewiesenen IT-Fachleuten; weltweit sind 200 derartige kriminelle Unternehmen aktiv.

9.    Beachten Sie die gesetzliche Meldepflicht der Datenschutzgrundverordnung (DSGVO) – ggf. müssen Sie binnen 72 Stunden bzw. unverzüglich Betroffene informieren.

10.    Eine zeitnahe Veröffentlichung durch Microsoft und dann auch eine frühzeitige Warnung durch das BSI hätte deutschen Unternehmen und Behörden Millionen Euro Aufwand erspart. Die gesetzlichen Regelungen zur Veröffentlichung der den Behörden bekannt gewordenen Sicherheitslücken und damit die Möglichkeit des Patchens bzw. im Notfall auch Abschaltens von Software sind völlig unzureichend. Die Behörden sollten vielmehr alle ihnen bekannten Sicherheitslücken unverzüglich veröffentlichen müssen. Anderenfalls sind Unternehmen und Behörden den mehr als 200 internationalen Hacking-Unternehmen durch diese vollständige Überwachungsmöglichkeit völlig ausgeliefert bei Spionage und Sabotage – bis hin zu Gefahren für Leib und Leben bei relevanten Produktionsprozessen. Sprechen Sie darüber mit Ihrem Bundestagabgeordneten!


Verwandte Artikel

softScheck GmbH