Microsoft warnt vor vier kritischen Schwachstellen im weltweit meistgenutzten E-Mail-Transport-Server Microsoft Exchange, die bereits aktiv ausgenutzt werden (sog. Zero Day Schwachstellen).
——
Update vom 10.03.2021
——
Update vom 08.03.2021
Das BSI veröffentlichte am 06.03.2021 ein weiteres Update der Cybersicherheitswarnung bzgl. der Microsoft Exchange Server Schwachstellen. Darin wurden neue Erkenntnisse in Bezug auf Mitigationsmaßnahmen und Ausnutzung der Schwachstellen ergänzt. Weiterhin hat das BSI am 08.03.2021 eine begrenzte IT-Krise festgestellt und eine besondere Aufbauorganisation eingerichtet. Die Anzahl an Meldungen von potenziell Betroffenen nimmt stetig zu.
Das BSI veröffentlichte am 05.03.2021 ein Update der Cybersicherheitswarnung „Mehrere Schwachstellen in MS Exchange„. Dabei wurde die Kritikalität auf die höchste Stufe Rot angehoben. Die in der Warnung beschriebenen Maßnahmen sollen unverzüglich umgesetzt werden. Hintergrund ist die aktuell beobachtete Ausnutzung der Schwachstelle und die damit verbundene Infektion von tausenden Systemen weltweit. Laut der Schwachstellensuchmaschine Shodan existieren allein in Deutschland 57.000 potenziell verwundbare Systeme.
—–
Die Technik hinter den Angriffen
Eine Kombination der vier entdeckten Schwachstellen ermöglicht es einem entfernten Angreifer, Zugriff auf E-Mails zu erlangen sowie beliebigen Code auf dem Exchange Server auszuführen. Damit ein Angriff möglich ist, muss der Exchange Server über den standardmäßig offenen Port 443 (https) erreichbar sein. Über diesen wird z.B. der Webmailer OWA (Outlook Web Access) bzw. Outlook On The Web angeboten. Für die Schwachstellen hat Microsoft deshalb – außer der Reihe – Sicherheitsupdates bereitgestellt und rät dazu, diese umgehend zu installieren.
Bereits viele aktive Angriffe registriert
Laut Microsoft konnten bereits Angriffe der chinesischen Gruppe Hafnium gegen US-Organisationen festgestellt werden. Ziel der Angriffe war das Abgreifen von E-Mails der betroffenen Organisationen. Das BSI hat am 03.03.2021 neben einer Warnung über den CertBund Twitterkanal auch eine Cybersicherheitswarnung veröffentlicht.
Bewertung vom Fachreferat: „Alle vier Schwachstellen haben laut CVSS eine niedrige Angriffskomplexität. Deswegen gehen wir davon aus, dass die Ausnutzung der Schwachstellen nicht schwierig sein dürfte. Für die initial notwendige Kompromittierung über CVE-2021-26855 bedarf es keiner Benutzerinteraktion, um anschließend mit dem Rechten des Exchange Servers weiter agieren zu können.“
Zugriffe beschränken
Zugriffe sollten lt. BSI, sofern eine externe Erreichbarkeit zwingend erforderlich ist, z. B. über sichere VPN-Verbindungen erfolgen. Das heißt, es sollten keine Verbindungen aus nicht vertrauenswürdigen Netzen zugelassen werden, um die Angriffsfläche entsprechend zu reduzieren.
Zusätzlich ist zu berücksichtigen, dass Exchange-Server standardmäßig sehr hohe (oft administrative) Rechte innerhalb einer Domäne besitzen. Es ist gut möglich, dass weitergehende Angriffe mit den Rechten des übernommenen Exchange-Servers mit geringem Aufwand dazu in der Lage sind, die gesamte Domäne kompromittieren zu können.
Quellen:
https://www.bleepingcomputer.com/news/security/microsoft-fixes-actively-exploited-exchange-zero-day-bugs-patch-now/
https://www.spiegel.de/netzwelt/netzpolitik/microsoft-exchange-server-weltweite-angriffswelle-besorgt-sicherheitsexperten-a-1eae06f4-6948-45ac-971a-91406d7980ad#ref=rss
https://www.handelsblatt.com/technik/it-internet/medienberichte-zehntausende-microsoft-kunden-wohl-von-hackerangriff-betroffen/26981036.html
https://www.heise.de/news/Jetzt-patchen-Angreifer-attackieren-Microsoft-Exchange-Server-5070309.html
