Bleibt Microsoft Exchange ein beliebtes Ziel von Hackern?
Hafnium – neue Story, alte Fehler? Was haben Software-Anbieter und User anhand anderer Angriffe auf Microsoft Exchange gelernt?
Obwohl die Solarwindsaffäre uns immer noch in den Ohren klingelt, wird es uns in der Cybersicherheitswelt anscheinend nie langweilig. Nach dem neuen Hafnium-Angriff fassen wir zusammen, wie einige Sicherheitslücken in dem Microsoft-Produkt Exchange genutzt wurden, um Daten zu stehlen und dauerhaften Zugriff auf die Geräte der Opfer zu erlangen. Ob das unausweichlich war?
Reaktion des Herstellers Microsoft
Offiziell wurde erst im März 2021 weltweit über Hafnium gesprochen, aber tatsächlich hat die Entstehungsgeschichte bereits um einiges früher angefangen. Schon Anfang Dezember wurde eine erste Schwachstelle in dem Microsoft-Exchange-Server entdeckt (später benannt als ProxyLogon / CVE-2021-26855). Dadurch konnte ein Angreifer die Authentifizierung umgehen und sich als Administrator ausgeben.
In dem Moment, als der Hacker sich Zugang zu dem Microsoft-Exchange-Server verschafft hat, war der Angriff auf die anderen Sicherheitslücken schon um einiges leichter. Dank einer detaillierten Analyse wurden noch drei weitere Sicherheitslücken im Microsoft-Exchange-Server – CVE-2021-26857, CVE-2021-26858 und CVE-2021-27065 – entdeckt. Durch diese Sicherheitslücken konnten viele Userdaten abgegriffen und von Hackern weiter verwertet werden, z.B. zur Generierung von sehr überzeugenden Phishing-Mails. Auch die Installation von Schadsoftware sowie andere Änderungen an der Mailserver-Konfiguration waren dadurch möglich.
Schon Anfang Januar (10.01.2021) wurde das Microsoft Security Resource Center (MSRC) von seinem Gold-Partner, der Firma DevCore, über den Angriff informiert. Zwar hatte Microsoft versprochen, möglichst schnell eine Lösung zu finden; in der Realität dauerte es jedoch bis März. Leider arbeiteten die Hacker wie immer blitzschnell, sodass ab Ende Februar schon tausende Systeme durch eine Backdoor gescannt und infiziert wurden.
Reaktion der Anwender
Durch den Hafnium-Angriff wurden fast alle Systeme getroffen, die eine nicht-vertrauenswürdige Verbindung auf Port 443 zulassen: Microsoft-Exchange-Server 2013, 2016, 2019 sowie 2010 (nur bei Schwachstelle CVE-2021-26857). Unerwarteterweise waren auch ältere Versionen wie 2003 und 2007 betroffen, weswegen in vielen Fällen nicht nur ein Update, sondern auch ein Upgrade des Systems nötig war. Lediglich Exchange Online wurde nicht infiziert.
Ein erstes Sicherheitsupdate veröffentlichte Microsoft erst am 3. März 2021. Dies bedeutete zudem nicht, dass alle Benutzer sofort eine Update-Installation durchführten. Bei einigen Nutzern musste erst ein Upgrade durchgeführt werden. In Konsequenz waren am 08.03. noch immer 40 % aller Microsoft Exchange Server verwundbar. Zwei Wochen nach dem Patch vom 16.03 waren noch fast 22 % der Server verwundbar (ca. 13.000 Server).
Wo liegen die Schwachstellen? Was braucht es für ein sicheres ISMS?
Wir können uns nicht hundertprozentig vor allen Angriffen schützen, aber wir können strukturierte Abläufe mit klären Verantwortlichkeiten bei Vorfällen entwickeln. Dies ist keine einfache Aufgabe, da in einem Entscheidungsprozess viele Faktoren berücksichtigt werden müssen – es ist aber möglich! Jede Organisation muss vor allem entsprechende Ressourcen wie qualifizierte Mitarbeiter bereitstellen. Bei vielen Unternehmen wird leider noch kaum über eine Überwachung der IT-Sicherheit gesprochen und es fehlt das aktuelle Wissen sowie die entsprechende Dokumentation. Außerdem spielt das Selbstbewusstsein der Mitarbeiter im Hinblick auf Best Practices im Bereich IT-Sicherheit eine große Rolle. Insgesamt bleibt noch viel zu lernen, was oft auch mit finanziellem Aufwand verbunden ist.
Einerseits verbreiten sich schlechte Nachrichten und Gerüchte genauso schnell wie Viren, andererseits wundert es, warum man so lange auf eine Reaktion auf die Sicherheitslücken und die Einführung der Updates in Deutschland warten musste. Ein Security Incident Response Plan sollte im Cyber-Security-Umfeld besser bekannt und anwendbar werden.
Beim Bundesamt für Sicherheit in der Informationstechnik (BSI) wird seit Langem über den Aufbau eines Prozesses bei Cyber-Angriffen gesprochen. Auf der BSI-Website kann man eine Checkliste mit organisatorischen und technischen Aspekten herunterladen und bei Bedarf die hilfreichen Hinweise anwenden.
Mit dem neuen IT-Sicherheitsgesetzes 2.0 in Deutschland muss bei jedem Cyber-Angriff eine wirksame Strategie angewandt werden. Die verschärften gesetzlichen Anforderungen an IT-Systeme zwingen alle ISMS-Beauftragten dazu, sie bewusster zu überwachen und die möglichen Risiken schnell zu erkennen. Zur Sicherheit empfehlen wir, alle IT-Systeme nicht nur intern, sondern auch extern prüfen zu lassen, da oft erst während des externen Audits Sicherheitslücken entdeckt werden.
Um die Sicherheitsrisiken zu mindern, haben verschiedene Organisationen spezielle Verfahren entwickelt.
Die Incident Response ist ein Plan für eine methodische Reaktion auf einen Cybersicherheitsvorfall. Wenn ein Vorfall schädlich ist, werden angemessene Schritte vorgenommen, um den Schaden schnell einzudämmen, zu minimieren und daraus zu lernen. Da jedoch jede Intervention auch Zeit kostet, müssen die voraussichtlichen Risiken klassifiziert und für jede Gruppe die genauen Eindämmungsmethoden Schritt für Schritt bearbeitet werden. Maßnahmen zur Reaktion auf Vorfälle gehören zum weltweiten Branchenstandard. Man unterscheidet zwischen zwei Modell-Verfahren:
Beim NIST (National Institute of Standards and Technology) gibt es vier Niveaus:
- Vorbereitung
- Erkennung und Analyse
- Eindämmung, Beseitigung und Wiederherstellung
- Aktivität nach dem Vorfall
SANS (SysAdmin, Audit, Netzwerk und Sicherheit) ist jünger als das staatliche NIST, dessen Fokus auf Sicherheit liegt. Der SANS-Vorfallreaktionsprozess ist komplexer und besteht aus sechs Schritten:
- Vorrbereitung
- Identifizierung
- Eindämmung
- Beseitigung
- Wiederherstellung
- Nachverfolgung
Meist wird der größte Fehler am Anfang eines Vorfalls dadurch begangen, dass der Vorfall gar nicht erst erkannt wird und der Hackerangriff ungestört durchgeführt werden kann. Hier kann ein sogenanntes Intrusion Detection System (IDS) helfen, dessen Einführung im Energiesektor durch das neue IT-SiG 2.0 für alle KRITIS-Betreiber gefordert wird.
Schritt für Schritt zur Sicherheit
Die Arbeit eines Informationssicherheitsbeauftragten bedeutet, sein Wissen im Bereich Security Management auf dem Laufenden zu halten und die neuesten Trends und Lösungen auf dem Schirm zu haben. Von großer Bedeutung ist das Zustandsmonitoring und alle Server einmal pro Woche mithilfe geeigneter Tools, die es auch Open-Source gibt (z.B. Thor Lite Scanners), zu scannen. Wichtig ist dabei beispielsweise die Prüfung auf neu angelegte oder geänderte Benutzerkonten, die ggf. durch Hacker angelegt wurden, um weitere User im Netzwerk zu infiltrieren.
Zu den nächsten Schritten sollte gehören:
- Die Einführung einer Multi-Faktor-Authentifizierung, bevor man Zugriff auf die gewünschte Ressource (beispielsweise eine Anwendung, ein Benutzerkonto, ein Server oder ein VPN Netzwerk) erlangt,
- Back-up aller Daten offline
- Aktive Sensibilisierung aller Benutzer auf neue mögliche Angriffe
Ein reifes Security-Managementsystem kann man auch als Informationssicherheitsmanagementsystem bezeichnen, da die Phasen, die für ein ISMS wichtig sind, auch durchlaufen werden müssen.
Im Notfallmanagement geht es darum, was getan werden kann, um Risiken zu mindern. Dazu gehören alle Sicherungs-Tools, aber der Umgang mit dem System im Notfall, wie etwa die Umschaltung auf eine andere Lösung oder eine vollständige Abschaltung des Systems.
Darüber hinaus kann die Auswahl der Dienstleister eine essenzielle Rolle in der Notfallunterstützung spielen. Vor allem sollte bewertet werden, inwieweit wird eine Unterstützung benötigt und ob einen Dienstleister den benötigten Service auf einem zufriedenstellenden Niveau leisten kann.
Nach Hafnium ist es vielen Nutzern nicht bewusst, dass Ihre Daten sich irgendwo frei verfügbar im Internet befinden oder dass Sie angreifbar sind. Wie geht es weiter?
Laut dem Microsoft Threat Intelligence Center-Team ist für diesen Angriff eine chinesische Gruppe, bekannt als „Hafnium”, verantwortlich. Heute wissen wir, dass insgesamt ca. 10 verschiedenen Hackergruppen aus der ganzen Welt die Schwachstellen ausgenutzt haben. Man kann allerdings nicht schätzen, wie viele Systeme durch den Angriff infiziert worden sind. Es ist aber von einer hohen Zahl auszugehen. Einige Monate nach dem Angriff hat deswegen das amerikanische FBI durch ein Gericht die Berechtigung erhalten, den gleichen Weg wie die Hacker zu nutzen und Backdoors zu entfernen. Anschließend musste das FBI alle Nutzer per E-Mail informieren und bitten ein Update/Upgrade ihres Microsoft-Exchange-Servers durchzuführen.
Ansprechpersonen
Das Thema Cybersecurity liefert uns immer spannende Geschichten; als Nutzer eines Systems bevorzugen wir jedoch ein sicheres Informationssicherheitsmanagementsystem. Wenn Sie mehr über eine Zertifizierung Ihres ISMS nach ISO/IEC 27001 erfahren wollen, sind wir für Sie da: Andreas Lemke – Auditor ISO/IEC 27001, Leiter der Zertifizierungsstelle und Bozena Jakubowska – Produkt Manager ISMS.