Exchange-Lücken: BSI ruft "IT-Bedrohungslage rot" aus
Weltweit über hunderttausend Exchange-Server sind bereits kompromittiert; in Deutschland sind es zehntausende. Und stündlich werden es mehr.
"Die IT-Bedrohungslage ist extrem kritisch. Ausfall vieler Dienste, der Regelbetrieb kann nicht aufrechterhalten werden" – das ist die aktuelle Einschätzung der Situation durch das BSI. Ursache sind die Sicherheitslücken in Microsoft Exchange, für die der Hersteller in der Nacht zum Mittwoch, dem 3. März, Out-of-Band Updates veröffentlicht hat.
Das beim BSI angesiedelte CERT-Bund sieht aktuell mindestens 26.000 verwundbare Exchange Server in Deutschland, die direkt aus dem Internet erreichbar sind. Bei diesen "sollte von einer Kompromittierung ausgegangen werden", erklärt das BSI in seiner aktuellen Sicherheitswarnung zu den Exchange-Lücken. Hinzu kommen noch einmal mindestens genauso viele Server, bei denen nicht exakt zu sagen ist, ob sie die schützenden Updates bereits erhalten haben.
Dem BSI zufolge sind auch sechs Bundesbehörden betroffen. "Dabei ist es in vier Fällen zu einer möglichen Kompromittierung gekommen", hieß es in einer Sicherheitswarnung. Um welche Einrichtungen es sich handelt, wollte das BSI nicht öffentlich sagen. Es habe den betroffenen Behörden Hilfe angeboten und sei auch schon in einzelnen Fällen aktiv.
(Bild: CERT-Bund)
Wichtig ist, dass die Admins ihre Systeme nicht nur aktualisieren, sondern auch überprüfen, ob diese vielleicht schon gekapert wurden. Denn die Updates schließen zwar die Lücken, beseitigen aber nicht eine bereits erfolgte Infektion. Sollte es den derzeit überaus aktiven Angreifern gelungen sein, bereits eine Hintertür auf dem Server oder in den von dort zu erreichenden Systemen zu installieren, wird diese unter Umständen Monate später etwa für groß angelegte Erpressung genutzt.
Dies widerfuhr etwa der Uni-Klinik Düsseldorf, bei der Cyberkriminelle das Zeitfenster zwischen Bekanntwerden der Lücke und der Installation des schützenden Updates nutzten, um eine Backdoor zu installieren. Monate später kehrten die Angreifer über diese zurück, verschlüsselten massenhaft Daten und erpressten die Uni. Der Vorgang lähmte die Uni-Klinik über mehrere Monate.
Jetzt handeln!
Wer einen Exchange-Server betreibt, muss also mit allerhöchster Priorität zwei Dinge sicherstellen:
- dass der Server nicht bereits kompromittiert wurde
- dass dieser mit allen aktuellen Updates versehen ist
Finden sich Hinweise auf einen Einbruch, muss unbedingt sorgfältig geprüft werden, wie weit die Angreifer bereits ins Netz vordringen konnten. Das CERT-Bund warnt in diesem Kontext: "Exchange-Server besitzen in vielen Infrastrukturen standardmäßig (teilweise ungerechtfertigt) sehr hohe Rechte im Active Directory. Es ist denkbar, dass weitergehende Angriffe mit den Rechten eines übernommenen Exchange-Servers potenziell mit geringem Aufwand auch die gesamte Domäne kompromittieren können."
Ausnahmsweise Direkt-Patches
All das ist nicht trivial. Selbst das Einspielen der Patches erfordert oft noch vorbereitende Updates, da Microsoft die Patches normalerweise nur für die jeweils noch unterstützten Update-Stände (kumulative Updates, CUs) bereitstellt. Das sind aktuell CU 7/8 für Exchange 2019, CU 18/19 für Exchange 2016 und CU 23 bei Exchange 2013. Dem eigentlich bereits abgekündigten Exchange 2010 spendiert Microsoft ausnahmsweise auch noch Patches, sofern es sich auf 2010 SP 3 befindet.
(Bild: Microsoft)
Angesichts der Dringlichkeit der Situation hat Microsoft jedoch jetzt auch Security-Patches erstellt, die sich installieren lassen, wenn die aktuellen kumulativen Updates aus irgendwelchen Gründen nicht eingespielt werden können. Details dazu finden sich hier: March 2021 Exchange Server Security Updates for older Cumulative Updates of Exchange Server
Folgende Dokumente helfen bei den erforderlichen Maßnahmen:
- Mehrere Schwachstellen in MS Exchange, Cyber-Sicherheitswarnung des BSI
- March 2021 Exchange Server Security Updates for older Cumulative Updates of Exchange Server
- Security-Test-Skripte (Test-ProxyLogon.ps1) von Microsoft
- HAFNIUM targeting Exchange Servers with 0-day exploits, Infos zu den aktuellen Attacken von Microsoft
- Defending Exchange servers under attack, allg. Hinweise zum Härten von Exchange von Microsoft
- Hilfe zum HAFNIUM-Exploit vom Exchange-Experten Frank Carius
Mehr Infos und Diskussionen gib es im Expertenforum von heise Security Pro:
Angesichts von mehreren kritischen Sicherheitslücken in Microsofts Mail- und Groupware-Server Exchange warnte das Bundesamt für Sicherheit in der Informationstechnik (BSI) vor einem IT-Security-Fiasko. Weltweit über hunderttausend Exchange-Server sind bereits kompromittiert; in Deutschland sind es zehntausende. Und stündlich werden es mehr.
- Exchange-Lücken: BSI ruft "IT-Bedrohungslage rot" aus
- Cyberangriff auf Exchange Server der Europäischen Bankenaufsichtsbehörde
- Angriffe auf Exchange-Server – Microsoft stellt Prüf-Skript für Admins bereit
- Exchange-Lücken: BSI sieht hierzulande zehntausende Server betroffen
- Angreifer attackieren Microsoft Exchange Server
(ju)
