microsoft exchange server sicherheitslücke

IT-Bedrohungslage ausgerufen

Die chinesische Hackergruppe Hafnium hat mit einem sogenannten 0-day-Exploit zahlreiche Exchange Server von Microsoft angegriffen und kompromittiert. Grund dafür ist eine Schwachstelle, die eine Umgehung der notwendigen Authentifizierung möglich macht. Bereits im Dezember 2020 haben internationale Sicherheitsfirmen bei einer Untersuchung der Exchange-Serversicherheit auf diese Schwachstelle hingewiesen. Anfang März gab Microsoft Sicherheitsupdates bekannt und nahm Stellung zu den Exploit-Vorfällen.

Als dies an die Öffentlichkeit geriet, haben Hacker die Schwachstelle als Angriffsziel gewählt. Sie haben sämtliche verwundbare Exchange-Server gefunden und gezielt mit einer sogenannten Webshell als Backdoor infiziert. Bei einer Webshell-basierten Backdoor handelt es sich um ein befehlsbasiertes Skript einer Website, durch welches Computer remote verwaltet werden können. So kann auf die Kommandozeile via URL zugegriffen werden. Auf Servern, wie Microsoft 2010, 2013, 2016 und 2019, die die Ablage von Dateien erlauben, können über ein solches Skript uneingeschränkt Dateien abgelegt werden. Darüber ist unter anderem eine Anmeldung als Administrator möglich und die Eingabe zahlreicher Befehlseingaben.

 

Was bedeutet das für deutsche Unternehmen?

Allein in Deutschland sind 26.000 Exchange-Server aufgrund dieser Schwachstelle angreifbar gewesen und wurden zum großen Teil höchstwahrscheinlich bereits mit einer Schadsoftware infiziert. Nach ersten Untersuchungen sind Unternehmen branchenunabhängig betroffen – unter anderem deutsche Bundesbehörden, Rüstungsunternehmen, Hochschulen und Krankenhäuser. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) geht von einer fünfstelligen Zahl betroffener Systeme in Deutschland aus und es werden immer mehr.

Es ist also wichtig herauszufinden, ob der Server bereits kompromittiert wurde und diesen mit allen aktuellen Updates zu versehen.

Mögliche Folgen des Angriffs (u.a.):

  • Kompromittieren von Daten des Exchange-Servers (E-Mails, Kalender, Kontakteinträge)
  • Zugriff auf weitere Server (und die darauf liegenden Daten) des Netzwerks
  • Zugriff auf die Active Directory und Abgriff von Benutzer und Passwortdaten
  • Einschleusen schädlicher Dateien zur Sicherstellung eines späteren Remote-Zugriffs auf die IT-Infrastruktur (durch sogenannte Backdoors)

Betroffene Exchange-Server:

  • 2010
  • 2013
  • 2016
  • 2019

 

Bekanntes Hackervorgehen

  • Über den TCP-Port 443 für HTTPS-Anfragen wie z.B. für die Nutzung von Outlook im Web (Outlook Web Access/OWA)
  • Einschleusen von Schadcode in Form einer sogenannten Webshell (browserbasiertes Kommandozeilenprogramm, das den Remotezugriff auf einen Server ermöglicht)
  • Die Webshell ermöglicht dem Hacker einen Remote-Zugriff mit den administrativen Rechten des Exchange Dienstes – und im weiteren Verlauf ggfs. auch auf andere Server im Firmen-Netzwerk (der Angriff beschränkt sich also nicht zwangsläufig ausschließlich auf den Exchange-Server)

 

Was Sie nun tun sollten:

1. Self Check & Analyse des Schadens:

  • Status der betroffenen Systeme für forensische Untersuchung bereithalten; ggfs. Ersatzsysteme installieren, um weiter arbeiten zu können
  • Beauftragung eines Unternehmens mit forensischer Expertise, um die Folgen des Angriffs vollständig erkennen zu können, z. B.
    • Welche Systeme sind (neben dem Exchange Server) ggfs. zusätzlich betroffen?
    • Welche User sind kompromittiert?
    • Hat ein unberechtigter Zugriff bzw. Abfluss von Daten stattgefunden?

Um das Vorhandensein sogenannter Backdoors sicher ausschließen zu können, empfiehlt das LDI.NRW den betroffenen Exchange und angeschlossene Systeme neu zu installieren oder alternativ auf einen Zustand vor dem Inzident zurückzusetzen. Parallel dazu sollten die betreffenden Systeme engmaschig überwacht werden, um zukünftige Angriffe über ggfs. vorhandene Backdoors abwehren bzw. zeitnah auf diese reagieren zu können.

Microsoft hat Sicherheits-Updates, sogenannte Patches bereitgestellt, die sich direkt installieren lassen:

Für ältere Versionen gibt es hier eine Anleitung.

2. Meldung bei der zuständigen Datenschutzbehörde

Nach Rücksprache mit der Aufsichtsbehörde handelt es sich definitiv um einen meldepflichtigen Datenschutzvorfall (DSV) wenn die Sicherheitslücke ausgenutzt wurde und nachweislich oder auch nur möglicherweise Daten abgeflossen sind.

In diesem Fall müssen nach Art. 33 DSGVO sowohl die zuständigen Aufsichtsbehörde als auch die jeweils Betroffenen innerhalb von 72 Stunden informiert werden. Können die Betroffenen nicht identifiziert werden, so müssen alle Personen informiert werden, die betroffen sein könnten. Zudem ist der Vorfall im Datenschutzmanagementsystem zu dokumentieren.

 

Wichtig auch ohne Datenabfluss:

Sofern Sie nachweisen können, dass keine Daten abgeflossen sind, muss dieser Umstand lediglich dokumentiert und im Datenschutzmanagementsystem gespeichert werden.

Hinweis: Ein möglicherweise erfolgender Angriff über besagte Backdoors müsste als neue Datenschutzverletzung gewertet und ggfs. auch gemeldet werden.

Fazit: Jetzt handeln

Das BSI hat die Lage als extrem kritisch eingestuft. Datenschutzvorfälle sollten innerhalb kürzester Zeit gemeldet werden. Hier zeigt sich die Wichtigkeit der IT-Sicherheit im Unternehmen sowie eine schnelle Reaktionsfähigkeit bei Datenschutzvorfällen auf der Grundlage eines gut etablierten Datenschutzsystems im Unternehmen. Dafür ist auch das Bewusstsein der MitarbeiterInnen durch Datenschutzschulungen zu sensibilisieren, denn auch in Zukunft können ähnliche Angriffe in Unternehmen großen Schaden anrichten.

 

Quelle Headerbild: unsplash @markus spiske
Quelle Grafik: Microsoft