ComputerSysteme Lonz 0 63 43 - 98 98 335 Schulstraße 6a, 76889 Gleiszellen

Sicherheitslücke in Exchange bedroht 250.000 Server

von | Okt 12, 2020 | IT-Blog, Tutorial

E-Mail-Server von Microsoft

Microsoft Exchange Server sind die Kommunikationsplatform Nummer 1 in Unternehmen auf der ganzen Welt. Hier sammeln sich alle E-Mails aber auch Dateianhänge mit den wichtigsten Daten eines Unternehmens. Die Lücke mit dem Namen CVE-2020-0688 ist mittlerweile weit verbreitet und hat es exakt auf diese Server abgesehen.

Bereits im Februar 2020 wurde ein entsprechender Patch von Microsoft freigegeben, mit dem die Sicherheitslücke geschlossen werden kann. Und trotzdem waren am 5.10.2020 noch rund 250.000 Systeme im Internet frei zugänglich und verwundbar.

Die Angriffskette

Im April verzeichnete Microsoft eine besonders große Menge an Hacking-Kampagnen gegen Microsoft Exchange Server. Alle zielten darauf ab, die oben beschriebene Sicherheitslücke auszunutzen. Sehr oft wohl mit großem Erfolg.

Der Angriff folgt dem bekannten Muster der Installation sogenannter Webshells (Fernsteuerungen für Server). Ab diesem Zeitpunkt konnten sie sich unerkannt durch die Server graben, Domaincontroller ausspionieren und verdeckt nach Sicherheitslücken EternalBlue ausschau halten.

Anschließend manifestierten Sie den Zugriff durch die Erstellung eines eigenen Accounts und begannen damit, Zugangsdaten anderer Nutzer auszuspionieren. Hier angekommen war der Weg zu sogenannten Lateral Movement (laterale Verbreitung von Schadsoftware in Netzen) nicht mehr weit. Postfächer wurden exportiert, Remoteaccess auf die Server eingerichtet und die Daten auf fremde Server hochgeladen.

Der Schaden beläuft sich auf mehrere Millionen Euro – dabei war das Patch seit Februar frei zugänglich und hätte mit einem Klick und einem Neustart installiert werden können.

 

Tips zur Vermeidung

  • Patchen, patchen, patchen – die einfachste und wirkungsvollste Hilfe gegen solche Gefahren sind Updates
  • Überprüfen Sie regelmäßig Ihre Server auf Fehlkonfigurationen und Probleme
  • Überprüfen Sie alle Sicherheitsgruppen mit hohen Privilegien bzw. lassen sie diese bestenfalls überwachen und protokollieren, sodass Änderungen direkt sichtbar werden
  • Achten Sie auf entsprechende Hygiene der Anmeldeinformationen, für Administratoren ist 2-Faktor-Authentifizierung Pflicht
  • PsExec und WMI blockieren

Wir setzen Cookies ein, um Ihnen einen optimalen Service anzubieten und diesen immer weiter verbessern zu können.

Durch Bestätigen von “Cookies akzeptieren” stimmen Sie der Verwendung aller Cookies zu. Über den orangenen Button können Sie Ihre individuellen Cookie-Einstellungen vornehmen.

Weitere Informationen finden Sie unter Datenschutz.

Cookie-Einstellungen

Hier können Sie wählen, welche Art von Cookies Sie auf unserer Webseite zulassen möchten. Klicken Sie auf die Schaltfläche "Einstellungen speichern", um Ihre Wahl zu übernehmen.

FunktionalDiese Cookies sind notwendig, damit unsere Webseite reibungslos funktioniert.

AnalyseAnalytische Cookies die es ermöglichen unsere Webseite zu analysieren und zu optimieren. U.a. im Hinblick auf die Benutzerfreundlichkeit.

Social-MediaUnsere Webseite platziert Social Media Cookies, um Ihnen Inhalte von Drittanbietern wie YouTube und FaceBook anzuzeigen.

WerbungDiese Cookies werden über unsere Website von unseren Werbepartnern gesetzt. Sie können von diesen Unternehmen verwendet werden, um ein Profil Ihrer Interessen zu erstellen und Ihnen relevante Werbung auf anderen Websites anzuzeigen.

AndereUnsere Website platziert 3rd-Party-Cookies von anderen Drittanbietern, die nicht analytisch, Social Media oder Werbung sind.