Exchange-Lücke: Fast 40.000 deutsche Unternehmen spielen Russisch Roulette
Eine brisante Mischung: eine hochgefährliche Lücke im Exchange und aktive Angriffe. Doch über die Hälfte der betroffenen Unternehmen reagiert nicht.
Eine gefährliche Lücke, gegen die es bereits seit Februar Patches gibt und die bereits für Angriffe genutzt wird – und dennoch sind allein in Deutschland immer noch rund 40.000 Systeme angreifbar. Nicht irgendwelche Systeme. Es geht um Exchange-Server. Das sind die Kommunikationszentralen der Unternehmen, über die fast alles abgewickelt wird: E-Mail, Kalender, Kontakte. Trotzdem kümmern sich offenbar viele Administratoren nicht um deren Sicherheit.
Wie jetzt auch das BSI warnt, gibt es in Deutschland rund 40.000 Exchange-Server, die für die Lücke mit dem Bezeichner CVE-2020-0688 anfällig sind. Sie ermöglicht es, das System übers Netz komplett zu übernehmen. Mehr als die Hälfte aller Administratoren von Exchange-Servern mit einem direkt aus dem Internet erreichbaren Web-Interface setzt also auf das Sankt-Florian-Prinzip ("Verschon’ mein Haus, zünd’ and’re an!“).
Seit dem gestrigen Dienstag informiert deshalb das BSI/CERT-Bund die betroffenen Firmen über deren Provider, dass da dringender Handlungsbedarf besteht. Außerdem hat die Sicherheitsbehörde die IT-Bedrohungslage auf "3 / Orange" gesetzt. Das bedeutet: "Die IT-Bedrohungslage ist geschäftskritisch. Massive Beeinträchtigung des Regelbetriebs"
Nur eine Frage der Zeit
Man darf die Situation zwar nicht überdramatisieren. Für eine erfolgreiche Übernahme des Exchange-Servers benötigt der Angreifer bereits gültige Zugangsdaten zu einem Exchange-Konto. Doch diese Hürde ist nicht sonderlich hoch. Es genügt ein einziger mit einem Schädling infizierte Rechner oder ein unvorsichtiger Anwender, der auf eine Phishing-Mail hereinfällt. Mal ganz davon abgesehen, dass etwa die Emotet-Bande bereits reichlich Zugangsdaten gehortet hat. Das CERT-Bund stuft deshalb das Risiko zu Recht als "sehr hoch" ein.
Erschwerend hinzu kommt, dass der Exchange-Server sehr eng und häufig ohne ausreichende Absicherung an das Active Directory gekoppelt ist. Ein Angreifer kann "über die Kompromittierung eines Exchange-Servers somit je nach Systemumgebung schnell in den Besitz von Domänen-Administrator-Credentials gelangen" erklärt das BSI in seiner Sicherheitswarnung zu den Exchange-Lücken und rät betroffene Server schnellsmöglich zu aktualisieren.
Wenn Rapid7 und das BSI die anfälligen Server identifizieren können, dann dürfte das für Cybercrime-Banden auch kein Problem sein. Die können sich dann die betroffenen Unternehmen und Organisationen gezielt vornehmen. Es ist keine Frage ob, sondern nur wann es da zu massiven IT-Problemen kommen wird.
Siehe dazu auch auf heise Security:
(ju)