BSI Warnung Exchange-Server: Haben chinesische Hacker bereits die Sicherheitslücken ausgenutzt?

von

Lesezeit: Minuten ( Wörter)

Welche IT-Sicherheitslücken sind in Exchange vorhanden?

Im Verlaufe des Jahres 2021 hat Microsoft mehrere IT-Sicherheitslücken in Exchange gefunden. Die passenden Patches, die diese Lücken schließen, sind bereits verfügbar. Die ersten Sicherheitspatches wurden bereits im März 2021 veröffentlicht. Diese unterbinden Proxy-Logon-Attacken. Es handelt sich um die Sicherheitslücken CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 und CVE-2021-27065.

Darüber hinaus weist die BSI Warnung aktuell auf die beiden Sicherheitslücken CVE-2021-26427 und CVE-2021-42321 hin. Die Bedrohung durch diese Lücken stuft Microsoft als kritisch beziehungsweise hoch ein. Durch diese Sicherheitslücken ist es möglich, eigene Befehle in die Server einzuschleusen und diese auszuführen. Auf diesem Weg übernehmen Hacker die Kontrolle über das Active Directory und verleihen sich so selbst Zugriffsrechte. Somit ist es sogar möglich, über einen angreifbaren Microsoft Exchange Server die Kontrolle über ein gesamtes Netzwerk zu übernehmen.

Bei den betroffenen Exchange Servern ist der Outlook Web Access (OWA) aktiviert und angreifbar. Über diesen Outlook Web Access ist ein direkter Zugriff via Browser auf den Kalender sowie die Mails möglich, die im Microsoft Exchange Server gespeichert sind.

Welche Exchange Server sind betroffen?

Zu den angreifbaren Microsoft Exchange Servern gehören die Versionen 2010, 2013, 2016 und 2019. Dabei sind Server, die nicht auf dem aktuellen Stand der Sicherheitspatches sind, nicht nur angreifbar, sondern sind auch via Outlook Web Access (OWA) attackierbar. Somit sind öffentliche Attacken über das Internet möglich. Laut Microsoft nutzen Hacker diesen Angriffsweg bereits aus.

Das Computer Emergency Response Team der Bundesverwaltung (CERT-Bund) hat den Stand der angreifbaren Microsoft Exchange Server in Deutschland analysiert. Laut dem CERT-Bund sind alleine in Deutschland etwa 12.000 angreifbare Microsoft Exchange Server vorhanden. Bei diesen sind die entsprechenden Sicherheitspatches aus dem Oktober und November nicht aufgespielt. Das sind rund 30 Prozent aller E-Mail-Server, die auf Microsoft Exchange basieren. Selbst Server, bei denen die Updates aus dem März 2021 fehlen, sind aktuell noch im Leistungsbetrieb. Hier gibt der CERT-Bund die Zahl der Systeme mit bis zu 2.000 an.

Hinzu kommen die Microsoft Exchange Server, bei denen der Support ausgelaufen ist. Solche Systeme erhalten keine Sicherheitsupdates vonseiten Microsoft mehr. Dies trifft vor allem auf Systeme mit dem Microsoft Exchange Server 2010 SP3 und älter zu. Diese erhalten bereits seit dem Jahr 2020 keinerlei Sicherheitsupdates von Microsoft mehr.

Dies bedeutet, dass auch die aktuellen Sicherheitspatches nicht verfügbar sind. Bereits im November gab es eine BSI Warnung zu diesem Thema, die auch von IT-Medien aufgegriffen wurde. Schätzungen zufolge gibt es weitere rund 8.000 Microsoft Exchange Server, die keine aktuellen Sicherheitsupdates erhalten und dementsprechend ebenfalls verwundbar sind.

Jetzt keinen Blogbeitrag mehr verpassen!

  • 12x im Jahr aktuelle News aus der IT Security Welt
  • 4x im Jahr exklusive Einladungen zu kostenlosen IT Security Webinaren
  • 1 kostenloses Whitepaper zu unserem Threat Hunting Service Active Cyber Defense

Fehlerhafter Cumulative-Update-Stand sorgt für angreifbare Microsoft Exchange Server

Was die aktuelle Situation laut der BSI Warnung noch gefährlicher macht, ist eine verwirrende Information im System für die Aktualisierung der Microsoft Exchange Server. In einigen Fällen ist das System der Meinung, alle aktuellen Updates sind installiert. Somit zeigt das Update Center einen aktuellen Cumulative-Update-Stand an.

In der Realität fehlen hingegen die aktuellen Patches, sowie unter Umständen weitere Sicherheitsupdates, die die Sicherheitslücken CVE-2021-26427 und CVE-2021-42321 schließen. Der Grund für diese falsche Anzeige der kumulativen Updates ist selbst für Microsoft aktuell nicht ganz klar. Vermutet wird, dass dies mit fehlenden Rechten bei der Installation der Updates zusammenhängt. Dementsprechend ist die Dunkelziffer der angreifbaren Microsoft Exchange Server mit großer Wahrscheinlichkeit noch höher als bekannt.

Wie hoch ist die aktuelle Bedrohungslage durch angreifbare Microsoft Exchange Server?

In der BSI Warnung geht die Behörde davon aus, dass Hacker die IT-Sicherheitslücken in Exchange Servern bereits ausnutzen. Angriffe erfolgen allem Anschein nach auch aus dem Ausland. Bereits im März gab es Angriffe von vermeintlich chinesischen Hackern auf Microsoft Exchange Server mit Sicherheitslücken. Diese Einschätzung beruht auf Auswertungen von IT-Sicherheitsexperten, die verstärkte Scan-Aktivitäten im Internet bemerkt haben. Solche Scans zielen darauf ab, angreifbare Microsoft Exchange Server zu identifizieren. Die Scans laufen automatisiert und durchsuchen das Internet. Hacker stellen entsprechende Proof-of-Concept-Exploit-Codes in einschlägigen Kanälen bereit. Dies erlaubt es auch Cyberkriminellen mit geringeren IT-Fähigkeiten, den Angriffsvektor zu nutzen. Potenziell ist also jeder Microsoft Exchange Server, der nicht auf dem aktuellen Sicherheitsstand ist, angreifbar. Hacker finden ihre Ziele mit den Scans vergleichsweise einfach, da die Server sich selbst als angreifbar preisgeben.

Welche Gefahren gehen von einem angreifbaren Microsoft Exchange Server aus?

Die IT-Sicherheitslücken in den Exchange Servern beeinträchtigen die Sicherheit auf mehreren Ebenen. Zunächst lässt sich die Sicherheit der Kommunikation über diese Server nicht mehr gewährleisten. Hacker haben sich eventuell einen Fernzugriff auf betroffene Server eingerichtet und fangen auf diesem Weg unbemerkt die Mails ab. Diese Kompromittierung betrifft vor allem Unternehmen, die eigene Mail-Server auf Basis von Microsoft Exchange betreiben.

Noch größer ist die Gefahr, die von solchen Servern mit Sicherheitslücken ausgeht, wenn es den Hackern gelingt, sich Zugriffsrechte zu verschaffen. Auch dies ist über die aktuellen Lücken in den Exchange Servern möglich. Auf diesem Weg ist es möglich, das gesamte Netzwerk zu kompromittieren. Diese Gefahr droht, da die Exchange Server im Normalfall mit weitreichenden Zugriffsrechten in Active Directory ausgestattet sind. Über solche Accounts ist dann das komplette interne Netzwerk bedroht. Hacker haben dann die Möglichkeit, beliebig Daten zu stehlen oder sie infiltrieren das Netzwerk mit weiterer Schadsoftware. Dazu gehört auch Ransomware, die eine Verschlüsselung der Daten vornimmt.

Die IT-Sicherheitslücken in Exchange bedrohen somit nicht nur die digitale Kommunikation, von diesen geht auch eine reale Gefahr für die Sicherheit des gesamten Unternehmensnetzwerks aus.

Sofortige Maßnahmen sind erforderlich, um die IT-Sicherheitslücken in Exchange zu schließen

Das BSI ruft alle Administratoren von Microsoft Exchange Servern auf, dringend den Zustand der eigenen Systeme zu überprüfen. Fehlen aktuelle Sicherheitsupdates, ist es enorm wichtig, diese umgehend zu installieren. Administratoren, die sich auf den Cumulative-Update-Stand verlassen, laufen Gefahr, dass das eigene System anfällig ist.

Bereits im März gab es Angriffe von vermeintlich chinesischen Hackern auf Microsoft Exchange Server mit Sicherheitslücken.

Die Sicherheitspatches für die einzelnen Lücken stellt Microsoft als separate Downloads zur Verfügung. Das BSI rät den Verantwortlichen für die Exchange Server dazu, den Cumulative-Update-Stand zu kontrollieren und zusätzlich die neuen Patches umgehend manuell zu installieren. Microsoft weist darauf hin, dass es wichtig ist, die Patches mit Rechten als Administrator auszuführen. Ansonsten kommt es zu fehlerhaften Update-Vorgängen, bei denen Teile der Serversoftware nicht aktualisieren.

Das BSI rät außerdem dringend dazu, Server, bei denen der Support-Service abgelaufen ist, umgehend auf eine neue Version zu aktualisieren. Nur so erhalten diese Server aktuelle Sicherheitspatches und nur so sind die Sicherheitslücken geschlossen. Auf anderem Weg lässt sich die Anfälligkeit der Systeme nicht unterbinden. Laut der BSI Warnung ist die Lage derart kritisch, dass diese keinen Aufschub duldet. Aus diesem Grund hat das BSI am Freitag, dem 3. Dezember, etwa 9.000 Unternehmen in Deutschland direkt über die angreifbaren Microsoft Exchange Server informiert. Die BSI Warnung ging in Form eines postalischen Schreibens an die Geschäftsleitungen heraus. Das BSI rät Unternehmen dazu, Updates sofort vorzunehmen, auch am Wochenende. Weitere Maßnahmen und Informationen hat das BSI auch auf der eigenen Webseite zusammengetragen und veröffentlicht.

In der BSI Warnung wird zudem auf die Notwendigkeit hingewiesen, Systeme, die erst nachträglich gepatched wurden, auf Auffälligkeiten zu überprüfen. Dazu gehören beispielsweise unbefugte Zugriffe, neue Nutzerkonten oder Änderungen an Zugriffsrechten. Es ist nicht einfach, mit normalen Mitteln solche Auffälligkeiten zu entdecken. Anhaltspunkte sind vor allem die Logs. In den Logs des Exchange Servers sind alle Zugriffe verzeichnet. Auf die gleiche Art und Weise zeichnen auch andere Programme, das Betriebssystem sowie Hardware wie Router Nutzeraktionen präzise auf.

Die manuelle Auswertung solcher Logs ist in modernen Unternehmensnetzwerken unmöglich. Selbst in kleineren Firmen kommt es aufgrund des hohen Grads der Digitalisierung zu einer enormen Menge an Einträgen in den Logs pro Tag. Die Lösung für diese Aufgaben sind automatische Systeme für die Angriffsfrüherkennung. Entsprechende technische Lösungen sind vorhanden, die in Echtzeit alle Logs innerhalb eines Netzwerks kontrollieren. Mithilfe von Künstlicher Intelligenz erfolgt eine Bewertung jedes einzelnen Vorfalls. Auf diese Weise erkennt das System Aktivitäten, die nicht zum normalen Betrieb passen und meldet diese an die Verantwortlichen in der IT. Dann ist eine schnelle Reaktion möglich und Schaden lässt sich abwenden. Dienstleister bieten solche Lösungen für die Angriffsfrüherkennung als externen Service an. Auf diesem Weg haben auch KMU die Möglichkeit, sich mit einer Angriffsfrüherkennung abzusichern, ohne in ein eigenes Security Operations Center zu investieren.

Fazit

Die aktuelle IT-Sicherheitslücke in Exchange zeigt erneut deutlich, welche Bedrohungen von Systemen ausgehen, die permanent mit dem Internet verbunden sind. Schwachstellen in der Software sorgen für Angriffsvektoren, die Kriminelle früher oder später ausnutzen. Gleichzeitig wird deutlich, dass auch im Jahre 2021 ein eklatanter Nachholbedarf bei der IT-Sicherheit besteht. Am Beispiel der aktuellen IT-Sicherheitslücke in Exchange zeigt sich, dass rund ein Drittel der Server nicht auf dem aktuellen Sicherheitsstand ist. Gründe dafür liegen in der Unaufmerksamkeit der Verantwortlichen, Fehler bei der Update-Politik, einer schwachen IT-Sicherheitsstrategie sowie auch im Einsatz veralteter Software. Die BSI Warnung lenkt wieder einmal die Aufmerksamkeit auf diese Schwächen in der IT-Sicherheit.

Die Konsequenzen solcher Nachlässigkeiten sind in vielen Fällen verheerend und reichen von der unentdeckten Spionage bis hin zum Totalverlust der digitalen Systeme durch Ransomware. Deshalb ist es angebracht, erneut darauf hinzuweisen, wie wichtig es ist, der IT-Sicherheit höchste Priorität zuzuweisen. Im aktuellen Fall ist eine Angriffsfrüherkennung in der Lage, eine Kompromittierung des Servers sowie unbefugte Zugriffe zu erkennen und so Schlimmeres zu verhindern. Nur mit einer ganzheitlichen IT-Sicherheitsstrategie lassen sich Schäden durch Cyberangriffe abwenden.

Auch von Microsoft Exchange Sicherheitslücken betroffen? Kontaktieren Sie uns!

Durch Klicken auf die Schaltfläche "Absenden" bestätigen Sie, unsere Richtlinien zum Datenschutz gelesen zu haben. Sie geben Ihr Einverständnis zur Verwendung Ihrer personenbezogenen Daten zu dem von Ihnen angegebenen Zweck der Kontaktaufnahme durch die secion GmbH.

Zurück