Exchange-Lücke: Fast 40.000 deutsche Unternehmen spielen Russisch Roulette
Eine brisante Mischung: eine hochgefährliche Lücke im Exchange und aktive Angriffe. Doch über die Hälfte der betroffenen Unternehmen reagiert nicht.
![Exchange-Lücke: 30.000 deutsche Unternehmen spielen Russisch Roulette](https://heise.cloudimg.io/width/610/q85.png-lossy-85.webp-lossy-85.foil1/_www-heise-de_/imgs/18/2/9/8/0/6/0/4/exchange1-1ad58181c5a054e3.png)
Eine gefährliche Lücke, gegen die es bereits seit Februar Patches gibt und die bereits für Angriffe genutzt wird – und dennoch sind allein in Deutschland immer noch rund 40.000 Systeme angreifbar. Nicht irgendwelche Systeme. Es geht um Exchange-Server. Das sind die Kommunikationszentralen der Unternehmen, über die fast alles abgewickelt wird: E-Mail, Kalender, Kontakte. Trotzdem kümmern sich offenbar viele Administratoren nicht um deren Sicherheit.
Wie jetzt auch das BSI warnt, gibt es in Deutschland rund 40.000 Exchange-Server, die für die Lücke mit dem Bezeichner CVE-2020-0688 anfällig sind. Sie ermöglicht es, das System übers Netz komplett zu übernehmen. Mehr als die Hälfte aller Administratoren von Exchange-Servern mit einem direkt aus dem Internet erreichbaren Web-Interface setzt also auf das Sankt-Florian-Prinzip ("Verschon’ mein Haus, zünd’ and’re an!“).
Seit dem gestrigen Dienstag informiert deshalb das BSI/CERT-Bund die betroffenen Firmen über deren Provider, dass da dringender Handlungsbedarf besteht. Außerdem hat die Sicherheitsbehörde die IT-Bedrohungslage auf "3 / Orange" gesetzt. Das bedeutet: "Die IT-Bedrohungslage ist geschäftskritisch. Massive Beeinträchtigung des Regelbetriebs"
Nur eine Frage der Zeit
Man darf die Situation zwar nicht überdramatisieren. Für eine erfolgreiche Übernahme des Exchange-Servers benötigt der Angreifer bereits gültige Zugangsdaten zu einem Exchange-Konto. Doch diese Hürde ist nicht sonderlich hoch. Es genügt ein einziger mit einem Schädling infizierte Rechner oder ein unvorsichtiger Anwender, der auf eine Phishing-Mail hereinfällt. Mal ganz davon abgesehen, dass etwa die Emotet-Bande bereits reichlich Zugangsdaten gehortet hat. Das CERT-Bund stuft deshalb das Risiko zu Recht als "sehr hoch" ein.
Erschwerend hinzu kommt, dass der Exchange-Server sehr eng und häufig ohne ausreichende Absicherung an das Active Directory gekoppelt ist. Ein Angreifer kann "über die Kompromittierung eines Exchange-Servers somit je nach Systemumgebung schnell in den Besitz von Domänen-Administrator-Credentials gelangen" erklärt das BSI in seiner Sicherheitswarnung zu den Exchange-Lücken und rät betroffene Server schnellsmöglich zu aktualisieren.
Wenn Rapid7 und das BSI die anfälligen Server identifizieren können, dann dürfte das für Cybercrime-Banden auch kein Problem sein. Die können sich dann die betroffenen Unternehmen und Organisationen gezielt vornehmen. Es ist keine Frage ob, sondern nur wann es da zu massiven IT-Problemen kommen wird.
Siehe dazu auch auf heise Security:
(ju)