Kommentar: Microsoft kann Exchange-Exploits nicht weg-verbieten
Microsoft löscht den Beweis der Exchange-Server-Lücke von GitHub. Bringen tut dieser Konzern-Aktionismus nichts.
(Bild: Daniel AJ Sokolov)
Microsoft möchte, dass der katastrophale Exchange-Server-Hack im Gespräch bleibt. Anders ist nicht zu erklären, dass der Konzern den Beispielcode eines Exploits vom Code-Repositorium GitHub gelöscht hat. Sicherheitsgewinn bringt die Löschaktion keinen. Der Proof-of-Concept ist öffentlich bekannt – und selbst wenn nicht, hält das Profis nicht davon ab, sich die Sicherheitslücke durch Vergleich gepatchter und ungepatchter Systeme zu erarbeiten. Auch Microsoft kann den Geist nicht in die Flasche zurückdrücken.
Der unabhängige Sicherheitsforscher Jang Nguyen hatte den Code für einen Proof-of-Concept des Exchange-Server-Hacks am Mittwoch auf GitHub hochgeladen. GitHub ist eine Plattform für Software-Entwickler. 2018 hat Microsoft GitHub übernommen. In seinem Beispielcode zeigt Nguyen, wie man die beiden Sicherheitslücken CVE-2021-26855 (ProxyLogon) und CVE-2021-27065 kombinieren kann, um über Port 443 in ungepatchte Exchange-Server einzudringen.
Zuvor hatten andere User angebliche Proof-of-Concepts auf GitHub veröffentlicht. Dabei handelte es sich allerdings um müde Scherze – diese Codes funktionieren nicht. Nguyens Code funktioniert so wie gepostet zwar auch nicht, doch Fachleute können die notwendigen Anpassungen schnell vornehmen. Nach eigenen Angaben wollte Nguyen mit seiner Veröffentlichung Sicherheitsforschern helfen und die gravierende Bedeutung der Sicherheitslücken unterstreichen.
Mindestens zehn Tätergruppen nutzen diese Sicherheitslücken bereits aktiv aus. Weltweit sind hunderttausende Exchange-Server infiltriert worden. Dragos Ruiu, Sicherheitsforscher und Veranstalter der SecWest-Konferenzen, hat den Code sogar getweetet. Microsoft zählt selbst zu den SecWest-Sponsoren.
Microsoft sucht "Balance im Ökosystem"
Dennoch hielt Microsoft es der Mühe wert, Nguyens Code binnen Stunden von GitHub zu löschen. "Wir wissen, dass die Veröffentlichung und Verbreitung von Proof-of-Concept-Codes Wert für Lehre und Forschung in IT-Sicherheit hat", sagte Microsoft zu Motherboard, "Unser Ziel ist, diesen Vorteil mit der Sicherheit des weiteren Ökosystems in Balance zu bringen."
Und so ward der Code unter Verweis auf die GitHub-Nutzungsbedingungen binnen Stunden gelöscht. Ach, hätte Microsoft doch mit der gleichen Eile entsprechende Sicherheitsupdates gegen den Exchange-Server-Hack entwickelt! heise onlines Anatomie einer Katastrophe zeigt, dass Microsoft dabei wahrscheinlich mehr bedacht als behände vorgegangen ist.
Eh scho wurscht
Was bedeutet Microsofts Lösch-Aktion für die Sicherheits-Community? Nicht viel, wie mir Sicherheitsforscher Dr. Adrian Dabrowski von der Universität Kaliforniens in Irvine bestätigt hat: "Der Exploit ist öffentlich. Er kursiert zigfach in anderen Datenbanken und Gruppen." Grundsätzlich könne die Veröffentlichung von Proof-of-Concepts durchaus hilfreich sein: Sicherheitsforscher können daraus bessere Verteidigungsstrategien ableiten, und die Hersteller des unsicheren Produkts werden dazu angetrieben, rasch eine Lösung herauszubringen.
In diesem Fall habe der Proof-of-Concept jedoch nicht viel anzubieten: Die angewandten Methoden seien nicht neu, und Microsoft hat bereits Sicherheitspatches herausgebracht. (Doch leider gibt es noch immer zehntausende ungepatchte Exchange-Server im Netz).
Überhaupt sei GitHub nicht unbedingt die ideale Plattform für die Veröffentlichung gewesen: "GitHub ist eigentlich für die Zusammenarbeit mehrerer Entwickler geschaffen worden. Dieser Code ist aber kein kollaboratives Entwicklungsprojekt", erklärte Dabrowski, "Da sind andere Webseiten besser zugeschnitten." Andererseits löscht GitHub keineswegs alle Exploits und hostet viel Software, bei der nicht wirklich zur Zusammenarbeit aufgerufen wird.
Echte Hacker nutzen Sicherheitsupdates
(Bild: Daniel AJ Sokolov)
War die Veröffentlichung des Codes eine große Hilfe für Verbrecher? Nein, sagt Dabrowski. Professionelle Hacker würden grundsätzlich nach jedem Sicherheits-Update die Binaries ohne und mit Update mit einander vergleichen, um so herauszufinden, wie die gepatchte Sicherheitslücke funktioniert. Daraus bauten sie dann Exploits, um die Sicherheitslücke auf ungepatchten Systemen auszunutzen. "Es ist in der Praxis kaum zu vermeiden, dass kurz nach dem Patch die ersten Exploits auftreten", stellte Sicherheitsforscher Dabrowski in unserm Gespräch fest.
Professionelle Hacker haben also nicht auf Nguyens Beweis-Code gewartet. Ein paar Script-Kiddies können sich vielleicht daran ergötzen. Sie werden den Code jetzt erst recht suchen, nachdem GitHub ihn für VERPOHTEN!!1elf erklärt hat. Und sie werden ihn leicht finden.
Was bleibt, ist die Erkenntnis, dass Microsoft diese Sicherheitslücken peinlich sind. Kein Systemadministrator sollte sich auf das Einspielen des Sicherheits-Updates für seinen Exchange-Server verlassen. War der Server aus dem Internet erreichbar, muss er neu aufgesetzt werden. Zu groß ist das Risiko, dass sich Angreifer unbemerkt eingenistet haben und zu einem späteren Zeitpunkt zurückkommen möchten.
Angesichts von mehreren kritischen Sicherheitslücken in Microsofts Mail- und Groupware-Server Exchange warnte das Bundesamt für Sicherheit in der Informationstechnik (BSI) vor einem IT-Security-Fiasko. Weltweit über hunderttausend Exchange-Server sind bereits kompromittiert; in Deutschland sind es zehntausende.
- Exchange-Hack: Uneinheitliche Position der Datenschutzbehörden zur Meldepflicht
- Exchange-Lücken: Jetzt kommt die Cybercrime-Welle mit Erpressung
- Exchange-Lücken: BSI ruft "IT-Bedrohungslage rot" aus
- Cyberangriff auf Exchange Server der Europäischen Bankenaufsichtsbehörde
- Angriffe auf Exchange-Server – Microsoft stellt Prüf-Skript für Admins bereit
- Exchange-Lücken: BSI sieht hierzulande zehntausende Server betroffen
- Angreifer attackieren Microsoft Exchange Server
(ds)