ComputerSysteme Lonz 0 63 43 - 98 98 335 Schulstraße 6a, 76889 Gleiszellen

Microsoft Exchange Server sind die Kommunikationsplatform Nummer 1 in Unternehmen auf der ganzen Welt. Hier sammeln sich alle E-Mails aber auch Dateianhänge mit den wichtigsten Daten eines Unternehmens. Die Lücke mit dem Namen CVE-2020-0688 ist mittlerweile weit verbreitet und hat es exakt auf diese Server abgesehen.

Bereits im Februar 2020 wurde ein entsprechender Patch von Microsoft freigegeben, mit dem die Sicherheitslücke geschlossen werden kann. Und trotzdem waren am 5.10.2020 noch rund 250.000 Systeme im Internet frei zugänglich und verwundbar.

Die Angriffskette

Im April verzeichnete Microsoft eine besonders große Menge an Hacking-Kampagnen gegen Microsoft Exchange Server. Alle zielten darauf ab, die oben beschriebene Sicherheitslücke auszunutzen. Sehr oft wohl mit großem Erfolg.

Der Angriff folgt dem bekannten Muster der Installation sogenannter Webshells (Fernsteuerungen für Server). Ab diesem Zeitpunkt konnten sie sich unerkannt durch die Server graben, Domaincontroller ausspionieren und verdeckt nach Sicherheitslücken EternalBlue ausschau halten.

Anschließend manifestierten Sie den Zugriff durch die Erstellung eines eigenen Accounts und begannen damit, Zugangsdaten anderer Nutzer auszuspionieren. Hier angekommen war der Weg zu sogenannten Lateral Movement (laterale Verbreitung von Schadsoftware in Netzen) nicht mehr weit. Postfächer wurden exportiert, Remoteaccess auf die Server eingerichtet und die Daten auf fremde Server hochgeladen.

Der Schaden beläuft sich auf mehrere Millionen Euro – dabei war das Patch seit Februar frei zugänglich und hätte mit einem Klick und einem Neustart installiert werden können.

 

Tips zur Vermeidung

  • Patchen, patchen, patchen – die einfachste und wirkungsvollste Hilfe gegen solche Gefahren sind Updates
  • Überprüfen Sie regelmäßig Ihre Server auf Fehlkonfigurationen und Probleme
  • Überprüfen Sie alle Sicherheitsgruppen mit hohen Privilegien bzw. lassen sie diese bestenfalls überwachen und protokollieren, sodass Änderungen direkt sichtbar werden
  • Achten Sie auf entsprechende Hygiene der Anmeldeinformationen, für Administratoren ist 2-Faktor-Authentifizierung Pflicht
  • PsExec und WMI blockieren